8220 Gang APT IOCs

security IOC
Опубликовано

В период с января по февраль 2023 года специалисты FortiGuard Labs обнаружили полезную нагрузку, направленную на эксплуатируемый Oracle Weblogic Server в определенном URI. Эта полезная нагрузка извлекает ScrubCrypt, который обфусцирует и шифрует приложения и делает их способными обходить программы безопасности. У него уже есть обновленная версия, а веб-страница продавца гарантирует, что он может обойти Windows Defender и обеспечивает функции антиотладки и обхода некоторых программ.

8220 Gang

FortiGuard проанализировали вредоносное ПО, внедренное в систему жертвы, и в рамках нашего анализа определили действующее лицо угрозы как 8220 Gang, используя собранные индикаторы. Эта майнинговая группа впервые появилась в 2017 году. Название "8220" происходит от ее первоначального использования порта 8220 для сетевых коммуникаций.

По наблюдениям FortiGuard, за последние два месяца, эти атаки происходят с адресов 163[.]123[.]142[.]210 и 185[.]17[.]0[.]19. Целью злоумышленников был HTTP URI, "wls-wsat/CoordinatorPortType", который принадлежит серверу Oracle Weblogic.

Атака пытается загрузить PowerShell с именем "bypass.ps1". В частичном сценарии PowerShell "bypass.ps1", показанном на рисунке 3, основной код и строки были закодированы, чтобы их было сложнее обнаружить антивирусным решениям. После трех раундов добавления констант, реверсирования и декодирования на основе64 мы, наконец, обнаружили чистый текст. Первая переменная, "$c", содержит ScrubCrypt. Детали этой переменной будут рассмотрены в следующем разделе. Остальные переменные, от "$d" до "$f", предназначены для уклонения от AMSI и ETW, которые выполняются "iex" в конце атаки.

После декодирования "$c" находим скрипт для следующего шага. Он содержит еще один Base64-кодированный код, сохраненный в папке temp жертвы с именем "OracleUpdate.bat" для маскировки под обычный системный файл. После того как поддельный файл "обновления" декодирован и сохранен, он запускается со стилем Windows "hidden" для тихой загрузки ScrubCrypt.

ScrubCrypt - это криптер, используемый для защиты приложений с помощью уникального метода упаковки BAT. Пакетный файл показан на рисунке 5. Зашифрованные данные в верхней части могут быть разделены на четыре части с помощью обратной косой черты "\". Последние две части - это ключ и iv для расшифровки AES CBC.

После декодирования Base64, расшифровки AES.  В последних двух строках кода переменная "$BmoFi" отключает Event Tracing for Windows (ETW) путем исправления функции EtwEventWrite на 0xC3 (ret), а "$BbIpF" используется для вызова .NET с именем "ScrubCrypt" для конечной полезной нагрузки.

Код .NET сначала изменяет расширение на null, проверяет, подключен ли отладчик, и проверяет версию операционной системы, чтобы решить, стоит ли продолжать. Затем он получает идентификатор процесса, чтобы создать тающий файл (самоуничтожающийся) после выполнения.

Затем он определяет, принадлежит ли текущий пользователь к группе пользователей Windows "BUILTIN\Administrators" (RID: 0x220). Если пользователь не входит в эту группу, он декодирует данные "UAC" из раздела "Resources" и сохраняет их в файл "C:\Windows\system32\perfmon.exe". DLL файл показан на рисунке 9. Он используется для получения информации об имени пользователя со взломанной конечной точки. Затем он декодирует команду PowerShell: "cmd /c timeout /t 3 /nobreak & "C:\Windows\System32\perfmon.exe"", чтобы приостановить командный процессор на три секунды, игнорировать любые нажатия клавиш и выполнить DLL.

Далее он перечисляет драйверы в системе, чтобы обойти сканирование Windows Defender.

Для обеспечения постоянства он берет значения реестра из "Run" и "RunOnce", чтобы определить, установлен ли уже этот .NET-файл. Если нет, он сохраняет файл .NET в папке "Roaming" под названием "BSLkE.bat" и добавляет значение реестра для запуска VBS

Наконец, он декодирует данные "P" из раздела "Resources" с помощью ключа XOR на рисунке 12 и распаковывает его. Затем он загружает декодированные данные с именем "miner" в память и вызывает полезную нагрузку

2/14 числа ScrubCrypt загружает "miner" и вызывает процесс "explorer.exe" для запуска процесса майнинга на сервер 45[.]142[.]122[.]11:8080. Этот IP-адрес и кошелек были использованы для атаки 8220 Gang в январе 2023 года.

2/15 числа ScrubCrypt извлек "bat", который разархивировал данные массива и использовал "InvokeMember" для выполнения "Eoengmvsg.dll", показанной на рисунке 16. Он декодирует три сервера C2 и три номера порта.

Как только устройство жертвы получает пакеты C2-сервера, оно загружает еще три файла с адреса 79[.]137[.]203[.]156, показанного на рисунке 18. Первый, "miner.bat", представляет собой BAT-файл ScrubCrypt. Два других файла - это сжатые PE-файлы: "plugin_3.dll" и "plugin_4.dll" . Они демонстрируют поведение, аналогичное описанному в предыдущей статье.

2/16 числа ScrubCrypt загрузил модуль, также названный "bat", как показано на рисунке 20, но данные для его разархивации находятся в разделе "Resources". Он связывается с тем же сервером C2 и загружает два файла с адреса 163[.]123[.]142[.]210. Эти файлы также являются сжатыми PE-файлами с именами "plugin_3.dll" и "plugin_4.dll". Они идентичны файлам от 2/15 и запускают деятельность криптомайнера, используя ту же конфигурацию, как показано на рисунке 21.

Адрес криптокошелька, 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ и IP-адрес сервера, используемый в майнере Monero, использовались бандой 8220 в прошлом.

8220 Gang - известная майнерская группировка, которая обычно использует общедоступные файлообменные веб-сайты и использует уязвимости системы для проникновения в среду жертвы. За очень короткое время она перешла на использование более нового варианта криптовалюты "ScrubCrypt".

Indicators of Compromise

IPv4

  • 163.123.142.210
  • 179.43.155.202
  • 185.17.0.19
  • 209.141.38.219
  • 45.142.122.11
  • 79.137.203.156

IPv4 Port Combinations

  • 45.142.122.11:8080

Domains

  • su-95.letmaker.top
  • work.letmaker.top

SHA256

  • 0159c3b4fdff4ba89ff9e56bf2cdcdc8aaaa35d1fa4661288225e3701f8569b5
  • 0767cfa1fb304ba5ef61d25ddc580cf82170b84e6a04c856e84c6ad3ad98dc92
  • 13a11140bc0c62fbc8a364f71dfdf91a3ef321bb8c9c212b3af5eb576488a95e
  • 15cc89335d137fde5c61e540cd1c77718653ed7f359b206aeb85f25e5928096a
  • 179be54b3c2e29571fec9dcd16781eee3ce997c5352d9cce4834a10fc11d636b
  • 20a8278b25d5c27e861dc5188f9ffd40fc45db4131245ce1020c6fa9909841d1
  • 21326ecbb4cf7fef735e04f8e51efd7c861f883844e22050eab8615c7605b2f5
  • 2ad4c954313fe912a64c4116bf7ec5cbd2e6e3a88979f7b7c2863ca21ffc9dd9
  • 3422e84ca8e1ce5b106415d074667721772a7a8e9de3cd911665bad42145926c
  • 4d3be48fd3dde635cccd87a9925749c5a166e9b52026b5277883c7f3ab50c520
  • 4e46e6ca8c993761238af82e33a98aee97e80a3c8c80d418fb410e9556788d97
  • 55ba36d2ee2c5359dec3a425d27df9c3fb1ddede8cef74fd0bd69d38434609fd
  • 57223450820cbe9cf5779083b7d85c440bb8b529505c55579bfcc5816bf5c80a
  • 84f8580343323b8534d2321c1b8789df544c4941e12d8dfa5a1fbcd201b97e72
  • 922c114c3a7f69b3210624f3e267cfc330969d17c5813cd328557b1476ef1858
  • 9e2ddef83a3043de6a1f655a556fe3eca522656ad5e6056dd92ad13fa354b32f
  • a12c34fef1d6475d99aa9af2e8bf1fd55bca83982a0ee2a9131ffd9fd15cb2a7
  • a9d0af5af4cebbcce59ad5ef823a8d0ec71147799692c03be784f9e1670467ca
  • b3ceead8490dd68c344d5b009a8bf17ed7d24499a9d66dc3493033b5696f6632
  • b62ea075cfc99980488bc206cba24ffcd4faccd8b1a80aec27d9d444c430095d
  • d6150fd4d9616788fcb6f765ab5052669feaf90ac926ad42a59f3abf4871edb8
  • d9e7d3dbb299f76bb8a84e3b72cc8e78e86ea90e2dc777cdcfd51dbd10657f47
  • e6834bbc9946e79f8888d30e52ae72552c37f160a8e6ce3f56ae5a88ed190e91
Похожие записи:
  1. RapperBot Botnet IOCs - Part 2
  2. Cryptonite Ransomware IOCs
  3. Zerobot Botnet IOCs
  4. Vohuk Ransomware IOCs
  5. CrySIS/Dharma Ransomware IOCs
8220 Gang FortiGuard Labs ScrubCrypt
Добавить комментарий