隐形矿工：8220 Gang 使用 WireGuard 隐藏攻击

黑客如何在您的服务器上秘密挖矿。

安全研究人员发现了 8220 Gang 利用 Oracle WebLogic Server 中的漏洞进行未经授权的加密货币挖掘操作（加密劫持）的新细节。

甲骨文 WebLogic 服务器

趋势科技专家在最新报告中表示，攻击者正在使用反射 DLL 加载等无文件执行技术。这使得恶意软件只能在内存中运行，从而避免在磁盘上检测到。

趋势科技 最新报告， 反射 DLL 加载

8220 Gang，也称为 Water Sigbin，经常利用 Oracle WebLogic Server 中的漏洞进行攻击，包括 CVE-2017-3506、CVE-2017-10271 和 CVE-2023-21839。 这些安全漏洞用于获得初始访问权限，以及直接下载加密货币矿工。

CVE-2017-3506， CVE-2017-10271 CVE-2023-21839。

成功渗透后，攻击者运行 PowerShell 脚本来加载引导加载程序的第一阶段（“wireguard2-3.exe”）。该文件伪装成合法的 WireGuard VPN 应用程序，但实际上使用 DLL（“Zxpus.dll”）直接在内存中运行另一个可执行文件（“cvtres.exe”）。

此可执行文件用于获取 PureCrypter 加载程序（“Tixrgtluffu.dll”），该加载程序将系统信息发送到远程服务器并在系统上创建计划任务以激活挖矿程序，还将恶意文件添加到 Microsoft Defender 防病毒软件中例外情况。

命令和控制服务器使用包含 XMRig 配置数据的加密消息进行响应，之后下载程序从攻击者控制的域检索并执行挖矿程序。矿工本身将自己伪装成合法的 Microsoft 二进制文件（“AddinProcess.exe”）。