Злоумышленник по имени Water Sigbin (8220 Gang) атакует серверы Oracle WebLogic, используя уязвимости, чтобы развернуть вредоносные программы для майнинга криптовалют. В одной из таких атак была использована техника многоступенчатой загрузки, включающая защиту кода и методы защиты от отладки, чтобы обезопасить себя от обратного проектирования и обнаружения.
Water Sigbin (8220 Gang) APT
Атака начинается с эксплуатации уязвимости CVE-2017-3506, где злоумышленник разворачивает PowerShell-скрипт для декодирования и выполнения загрузчика первого этапа. Загрузчик первого этапа скачивает и выполняет вредоносную программу-загрузчик, которая динамически извлекает и исполняет двоичный файл из указанного ресурса, расширяя свои возможности по уклонению от обнаружения.
Загрузчик второго этапа также является троянским загрузчиком, который расшифровывает и декомпрессирует полезную нагрузку второго этапа с помощью алгоритма шифрования и сжатия. Эта полезная нагрузка десериализуется и раскрывает конфигурацию загрузчика, включая имя создаваемого процесса и полезную нагрузку следующего этапа.
Загрузчик третьего этапа создает новый процесс и использует инъекцию процесса для загрузки и выполнения загрузчика PureCrypter. Каждый загрузчик обеспечивает защиту и шифрование для обмана систем обнаружения и получения максимальной эффективности.
В результате этой многоступенчатой загрузки, Water Sigbin успешно атакует серверы Oracle WebLogic и разворачивает вредоносную программу-загрузчик для майнинга криптовалют. Эта техника загрузки обеспечивает злоумышленникам защиту и возможность эффективного выполнения вредоносной деятельности.
Indicators of Compromise
IPv4
- 89.169.52.37
URls
- http://79.110.49.232/plugin3.dll
- http://87.121.105.232/bin.ps1
SHA256
- 0bf87b0e65713bf35c8cf54c9fa0015fa629624fd590cb4ba941cd7cdeda8050
- 2e32c5cea00f8e4c808eae806b14585e8672385df7449d2f6575927537ce8884
- b380b771c7f5c2c26750e281101873772e10c8c1a0d2a2ff0aff1912b569ab93
- e6e69e85962a402a35cbc5b75571dab3739c0b2f3861ba5853dbd140bae4e4da
- f4d11b36a844a68bf9718cf720984468583efa6664fc99966115a44b9a20aa33