8220 Gang APT IOCs - V

Команда Sekoia по обнаружению и исследованию угроз (TDR) выявила заметную цепочку заражений, направленных на системы Windows и Linux через уязвимости в Oracle WebLogic Server. Злоумышленник использовал CVE-2017-10271 и CVE-2020-14883 для развертывания скриптов Python и Bash, выполняющих вредоносное ПО K4Spreader на базе G0, которое затем доставляло бэкдор Tsunami и криптоминер PwnRig.

K4Spreader Malware

CVE-2017-10271 - это дефект удаленного выполнения кода в XMLDecoder WebLogic, а CVE-2020-14883 позволяет получить несанкционированный доступ к серверам WebLogic, что дает злоумышленникам возможность потенциально получить контроль над уязвимыми системами. K4Spreader - это вариант вредоносной программы, предназначенный для распространения дополнительных вредоносных полезных нагрузок, где бэкдор Tsunami позволяет злоумышленникам сохранять постоянный доступ и контроль над скомпрометированными системами. Для систем Windows злоумышленник пытался выполнить сценарий PowerShell, предназначенный для установки криптомайнера через загрузчик на базе .NET под названием «CCleaner». Кроме того, в кампании используется PwnRig, криптоминер, который использует системные ресурсы для добычи Monero.

Исследователи выявили возможную связь между K4Spreader и вредоносным ПО Hadooken. Hadooken - это разновидность вредоносного ПО, известная тем, что использует одни и те же уязвимости WebLogic, сообщает AqueSec. Сходство вредоносных программ заключается в совпадающем коде и тактике, используемой в их операциях. Анализ K4Spreader и Hadooken, включая кошелек Monero, проведенный компанией Sekoia, указывает на то, что потенциальным исполнителем этих атак является группа 8220 Gang. Группа 8220 Gang, также известная как Water Sigbin, предположительно базируется в Китае и использует уязвимые облачные среды для внедрения вредоносных программ для криптомайнинга. Их цель - захват системных ресурсов для добычи криптовалюты Monero (XMR). Целью вторжения обычно являются облачные хостинги, а число жертв колеблется между 200 и 250 машинами.

Indicators of Compromise

IPv4 Port Combinations

• 157.230.29.135:80
• 198.199.85.230:80
• 51.222.111.116:80
• 51.255.171.23:80
• 64.227.170.227:80
• 77.221.149.212:80

Domains

• c4k-ircd.pwndns.pw
• play.sck-dns.cc
• pwn.oracleservice.top
• run.on-demand.pw

URLs

• http://154.213.192.44/bin.ps1
• http://154.213.192.44/c
• http://154.213.192.44/goku
• http://154.213.192.44/m.xml
• http://154.213.192.44/m1.xml
• http://154.213.192.44/plugin3.dll
• http://154.213.192.44/Ueordwfkay.pdf
• http://154.213.192.44/y
• http://sck-dns.cc/c

SHA256

• 10c2913361debb5f1db95c170ce2d6892d598d97b9f1f7f76a8bc7b5053e801a
• 11be73a9516ace88b1a0af52e4454f4bc1db514cc2511b3e02318bd8be2bcf09
• 1fcc2061f767574044ca1e97f92ca1d44ee0b35e0a796e3bd6a949ad4b1175e5
• 5100dbaf942556184928fc0387fb5aab69dc2ef7e77b29db75905329697f2350
• 7b229b173b32cde47963de2a6e4bfcf243a8646fbf100fb2e379526b42ee4515
• 9a5d68ca481091fbfde4d63087a836412bc8805b9a7cae000bd53899b0399e87
• c964791501a48e919446892fe14ed101c27da375668ac7a24de891dc68356f9b
• e68263fcc9b1f8729bba00f63fb5482f069218333a65cf1b0caa0fe6d7ce1ff3
• f6069886728686c5c6566c0332ba37c16805fb623b6fcbbd1dd2e09ee5cc75b1