Water Sigbin (8220 Gang) APT IOCs

security IOC
Опубликовано

Злоумышленник по имени Water Sigbin (8220 Gang) атакует серверы Oracle WebLogic, используя уязвимости, чтобы развернуть вредоносные программы для майнинга криптовалют. В одной из таких атак была использована техника многоступенчатой загрузки, включающая защиту кода и методы защиты от отладки, чтобы обезопасить себя от обратного проектирования и обнаружения.

Water Sigbin (8220 Gang) APT

Атака начинается с эксплуатации уязвимости CVE-2017-3506, где злоумышленник разворачивает PowerShell-скрипт для декодирования и выполнения загрузчика первого этапа. Загрузчик первого этапа скачивает и выполняет вредоносную программу-загрузчик, которая динамически извлекает и исполняет двоичный файл из указанного ресурса, расширяя свои возможности по уклонению от обнаружения.

Загрузчик второго этапа также является троянским загрузчиком, который расшифровывает и декомпрессирует полезную нагрузку второго этапа с помощью алгоритма шифрования и сжатия. Эта полезная нагрузка десериализуется и раскрывает конфигурацию загрузчика, включая имя создаваемого процесса и полезную нагрузку следующего этапа.

Загрузчик третьего этапа создает новый процесс и использует инъекцию процесса для загрузки и выполнения загрузчика PureCrypter. Каждый загрузчик обеспечивает защиту и шифрование для обмана систем обнаружения и получения максимальной эффективности.

В результате этой многоступенчатой загрузки, Water Sigbin успешно атакует серверы Oracle WebLogic и разворачивает вредоносную программу-загрузчик для майнинга криптовалют. Эта техника загрузки обеспечивает злоумышленникам защиту и возможность эффективного выполнения вредоносной деятельности.

Indicators of Compromise

IPv4

  • 89.169.52.37

URls

  • http://79.110.49.232/plugin3.dll
  • http://87.121.105.232/bin.ps1

SHA256

  • 0bf87b0e65713bf35c8cf54c9fa0015fa629624fd590cb4ba941cd7cdeda8050
  • 2e32c5cea00f8e4c808eae806b14585e8672385df7449d2f6575927537ce8884
  • b380b771c7f5c2c26750e281101873772e10c8c1a0d2a2ff0aff1912b569ab93
  • e6e69e85962a402a35cbc5b75571dab3739c0b2f3861ba5853dbd140bae4e4da
  • f4d11b36a844a68bf9718cf720984468583efa6664fc99966115a44b9a20aa33
Похожие записи:
  1. 8220 Gang APT IOCs - Part 4
  2. 8220 Gang APT
  3. 8220 Gang APT IOCs - Part 2
  4. 8220 Gang APT IOCs - Part 3
  5. BlackCat (BlackMatter) APT IOC
8220 Gang APT CVE-2017-3506 CVE-2023-21839 Water Sigbin
SEC-1275-1
Добавить комментарий