Группа скрипт-кидди 8220 Group повзрослела и приняла новую стратегию атак

[Artifact]

С развитием облачных технологий группировка изменила свои цели в пользу технологий Oracle.
Специалисты Trend Micro обнаружили новую кампанию группировки 8220 (8220 Mining Group), в ходе которой хакеры эксплуатировали 6-летнюю уязвимость Oracle WebLogic для доставки криптомайнера в зараженную систему.
В атаке использовалась уязвимость CVE-2017-3506 (CVSS: 7.4), которая влияет на компонент WLS Security в Oracle WebLogic и позволяет злоумышленникам удаленно выполнять произвольные команды через HTTP-запрос с помощью специально созданного XML-документа. Недостаток дает киберпреступникам возможность получать несанкционированный доступ к конфиденциальным данным или компрометировать весь систему.
Для проникновения в систему 8220 эксплуатировала HTTP URI “wls-wsat/CoordinatorPortType”. После входа хакеры доставили PowerShell-скрипт, который загрузил исполняемый файл (в том числе криптомайнеры) с IP-адреса сервера управления и контроля (C2-сервер).
Исполняемый файл загрузил DLL-библиотеку, которая внедряется непосредственно в процесс MS Build. DLL-файл тщательно обфусцирован для усложнения работы аналитиков. Информация о конфигурации DLL-файла закодирована в Base64, а новый процесс связывается с одним из трех C2-серверов с использованием TCP-портов 9090, 9091 или 9092 для загрузки криптомайнера.

Цепочка атаки 8220
В недавних атаках группа также использовала “lwp-download”, утилиту Linux для загрузки файла по указанному URL. Эксперты также наблюдали использование этой утилиты для атаки на системы Windows.
Злоупотребление «lwp-download» может ожидаться в краткосрочной перспективе для компрометации и нацеливания на другие платформы. Несмотря на повторное использование старых инструментов и C2-серверов, группа 8220 начала атаковать системы Windows и использовать новые файловые и C2-серверы для обхода обнаружений.
Ранее исследователи безопасности из Fortinet FortiGuard Labs сообщали, что группа криптомайнеров 8220 Gang доставляет на системы новый шифровальщик ScrubCrypt , а затем осуществляет криптоджекинг. Цепочка атак начинается с эксплуатации уязвимых серверов Oracle WebLogic для загрузки PowerShell-сценария, содержащего ScrubCrypt.
Специалисты называют участников 8220 низкоквалифицированными финансово мотивированными хакерами , которые проникают на хосты AWS, Azure, GCP, Alitun и QCloud, используя уязвимости в Docker, Redis, Confluence и Apache. Кроме того, у группировки есть собственный криптомайнер под названием PwnRig, основанный на майнере XMRig. PwnRig использует поддельный поддомен ФБР с IP-адресом, указывающим на государственный ресурс Бразилии.