Water Sigbin (8220 Gang), является китайской киберпреступной группировкой, действующей с 2017 года. Они специализируются на майнинге криптовалюты с помощью вредоносных программ, особенно в облачных средах и на серверах Linux. Группа использует уязвимости в своих атаках, постоянно обновляя свои скрипты и инструменты для развертывания.
Недавно были обнаружены новые техники, используемые Water Sigbin для скрытия своей деятельности, что делает их атаки более сложными для обнаружения и защиты. Они использовали уязвимости в сервере Oracle WebLogic, такие как CVE-2017-3506 и CVE-2023-21839, для развертывания майнеров криптовалюты на сервере-жертве.
Анализ полезных нагрузок атаки показал использование PowerShell-скриптов для загрузки и развертывания криптовалютного майнера. Water Sigbin использовали шестнадцатеричную кодировку URL-адресов и использовали HTTP через порт 443 для скрытой связи. Они также применили методы обфускации, чтобы затруднить обнаружение своего вредоносного кода.
Другой интересный аспект их атаки заключается в использовании сценария оболочки bin.ps1 для установки переменных окружения и скрытия исходного кода. Чтобы расшифровать и понять код, было необходимо заменить определенные строки и провести дополнительный анализ. В итоге были обнаружены команды, запускающие новое окно командной строки и выполняющие двоичный код.
Water Sigbin продолжает развиваться и совершенствовать свои методы атаки. Их использование новых техник и уязвимостей делает их более опасными и сложными для защиты. Защитники систем должны быть внимательны и постоянно обновлять свои меры безопасности, чтобы минимизировать риск подобных атак.
Indicators of Compromise
IPv4
- 45.15.158.154
- 46.226.164.8
- 89.169.52.37
- 91.92.248.35
URLs
- http://185.172.128.146:443/bin.ps1
- http://187.172.128.146:443/bin.ps1
- http://79.110.49.232/bin.ps1
- http://87.121.105.232/bin.ps1
SHA1
- 5e8ecc58acd6e26f696c35982372e4b694dfba94