okx

【安全圈】Log4Shell漏洞挖矿风险加剧

时间:2023-07-26|浏览:197

欧易

欧易(OKX)

用戶喜愛的交易所

币安

币安(Binance)

已有账号登陆后会弹出下载

漏洞

研究人员近日发现8220组织正在利用Log4Shell漏洞攻击VMware Horizon服务器,以便后续进行挖矿获利。受攻击的目标系统中包含韩国能源企业,由于系统存在漏洞且未打补丁,就被攻击者集火攻击。

Log4Shell(CVE-2021-44228)是Java日志程序Log4j的远程代码执行漏洞,攻击者可以通过使日志中包含远程Java对象来执行。

8220团伙

8220团伙是一个针对Windows与Linux系统进行攻击的组织,自从2017年以来一直活跃。如果成功入侵系统,8220主要通过挖矿来获利。该团伙不局限于特定地域,而是全球范围内发起攻击。此前,8220也利用Atlassian Confluence服务器的漏洞CVE-2022-26134等进行攻击。

如果利用漏洞成功,攻击者会执行PowerShell命令来下载并执行后续的PowerShell脚本,最终安装门罗币矿机。

利用Atlassian Confluence漏洞执行的PowerShell命令

近日,Fortinet的研究人员发现8220开始利用Oracle Weblogic服务器的漏洞安装ScrubCrypt。ScrubCrypt是一种使用.NET开发的恶意软件,可以安装其他恶意软件。通常情况下,ScrubCrypt最终会安装门罗币矿机,这也是8220团伙的最终目标。

利用Oracle Weblogic漏洞攻击执行的PowerShell命令

研究人员确认,8220团伙最近一直在利用Oracle Weblogic漏洞和Log4Shell漏洞下载ScrubCrypt,并通过ScrubCrypt安装门罗币矿机。

Log4Shell攻击

自从2021年12月被披露以来,Log4Shell漏洞已经被广泛利用。2022年,Lazarus组织也利用该漏洞发起攻击并传播NukeSped恶意软件。攻击者针对未打补丁的VMware Horizon中存在的log4j漏洞,该产品是用于远程工作与云基础架构的虚拟桌面解决方案。

分析日志发现,ws_tomcatservice.exe进程安装了8220团伙使用的门罗币矿机。

通过ws_tomcatservice.exe进程执行的PowerShell命令

尽管没有完整的网络数据包,但根据VMware Horizon的ws_tomcatservice.exe进程执行PowerShell命令与8220团伙常用的攻击方式来看,很可能是通过Log4Shell漏洞进行的攻击。

PowerShell命令执行日志

ScrubCrypt与XMRigCoinMiner分析

恶意软件进程树

利用Log4Shell漏洞攻击下载并执行的PowerShell脚本,脚本文件名为bypass.ps1。尽管恶意软件的代码有所不同,但文件名称与功能基本类似。

bypass.ps1 PowerShell脚本

bypass.ps1是带有混淆的PowerShell脚本,去除混淆后如下所示:

PowerShell脚本

此脚本首先绕过AMSI,然后在%TEMP%PhotoShop-Setup-2545.exe路径中创建并执行内嵌的恶意软件。PhotoShop-Setup-2545.exe是以.NET开发的Downloader类恶意软件,它会下载恶意代码并将其注入RegAsm.exe。

.Net恶意软件

在RegAsm.exe进程中注入并执行的恶意软件已经过混淆处理,但与Fortinet研究ScrubCrypt的相似性来看,很可能是一种类似ScrubCrypt的恶意软件。该ScrubCrypt包含3个CC的URL和4个端口(58001、58002、58003和58004)。

ScrubCrypt(RegAsm.exe)的CC地址

ScrubCrypt连接到CC服务器并下载其他恶意代码,实际中也发现了安装门罗币矿机的命令。

安装XMRigCoinMiner的PowerShell命令

deliver1.exe是用于下载并执行注入的恶意软件,将ScrubCrypt保存在MSBuild.exe的内部资源中。该ScrubCrypt包含2个CC地址和4个端口号(9090、9091、9092和8444)。

ScrubCrypt(MSBuild.exe)的CC地址

恶意软件下载

ScrubCrypt在注册表中增加了执行矿机时使用的配置数据(注入目标进程、矿池地址、钱包地址和矿机下载地址)、数据文件plugin_3.dll和plugin_4.dll。

注册表数据

plugin_4.dll是一种经过编码的.NET恶意软件,它的主要功能是解码plugin_3.dll文件,释放矿机,并将plugin_3.dll注入到指定的良性进程AddInProcess.exe中。

矿机注入的配置数据

攻击者使用的门罗币钱包地址与之前针对Atlassian Confluence漏洞攻击和Oracle Weblogic漏洞攻击中使用的门罗币地址相同,8220团伙一直使用相同的钱包地址。

结论

8220团伙针对未打补丁的系统发起攻击,安装门罗币矿机进行挖矿获利。该组织不仅针对存在漏洞的Atlassian Confluence发起攻击,也针对存在Log4Shell漏洞的VMware Horizon发起攻击。

安全圈

网罗圈内热点,专注网络安全。

实时资讯,一手掌握!

好看就分享,有用就点个赞。

支持「安全圈」就点个三连吧!

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

来源:

热点:挖矿

« 上一条| 下一条 »
区块链交流群
数藏交流群
区块链币圈-全球区块链数字货币行情、比特币虚拟货币资讯,狗狗币以太坊环保币柚子币莱特币瑞波币等加密数字货币价格非交易行情查询,金色财经巴比特范非小号快讯平台。
趣开心资讯 Qukaixin.cn ©2020-2024版权所有 桂ICP备19010284号-1