資安威脅趨勢 - 駭客組織8220鎖定Oracle WebLogic伺服器已知漏洞並散佈挖礦軟體

駭客組織8220鎖定Oracle WebLogic伺服器已知漏洞並散佈挖礦軟體

一、摘要

資安業者趨勢科技發佈中國駭客組織8220攻擊行動的警示，該團體鎖定Oracle WebLogic伺服器已知漏洞CVE-2017-3506、CVE-2023-21839，並藉此部署作案工具，一旦入侵成功，將使用系統硬體資源進行挖礦。

二、存在風險

資安業者趨勢科技揭露駭客團體8220的攻擊行為，該行動是針對Oracle WebLogic伺服器已知漏洞CVE-2017-3506、CVE-2023-21839而來，其透過PowerShell指令碼，最終在受害伺服器植入挖礦程式XMRig。

註：CVE-2017-3506和CVE-2023-21839皆為高風險層級，CVE-2017-3506為遠端作業系統層級命令執行漏洞，CVE-2023-21839則是與安全性不足的反序列化處理有關的漏洞，CVSS風險評分分別為7.4、7.5。

駭客攻擊技術分析：

Initial Access：一旦攻擊者成功利用CVE-2017-3506，Water Sigbin就會部署PowerShell腳本在受害主機上，該腳本負責解碼第一步驟的Base64編碼payload。在初始階段，駭客也會執行wireguard2-3.exe，其冒充合法的VPN應用程序WireGuard，欺騙使用者和防毒軟體。
First stage loader：wireguard2-3.exe是一個特洛伊木馬加載器，他會在內存中解密、映射並執行第二階段的payload。
Second stage loader：第二階段Zxpus.dll是另一個特洛伊木馬加載器，其將從資源中動態檢索為Vewijfiv的執行檔，找到後會用特定金鑰和AED加密演算法解密，並藉由GZip進行解壓縮，解壓縮後再進行反序列化處理。
Third stage loader：在此階段，載入工具在特定檔案路徑建立名為cvtres.exe的處理程序，並將下一階段的有效酬載以處理程序注入的手法，載入記憶體並啟動新的處理程序，執行名為PureCrypter的惡意程式載入工具。
Fourth stage (PureCrypter loader)：這個惡意程式載入工具連線至C2伺服器，並將受害電腦進行註冊，從而下載包含XMRig在內的最終有效酬載。PureCrypter不僅能隱藏自身，配置在系統啟動或使用者登入電腦的時候自動執行，並能建立隱藏排程執行PowerShell命令，從而將特定檔案列為防毒軟體Microsoft Defender的白名單

IoC：

e6e69e85962a402a35cbc5b75571dab3739c0b2f3861ba5853dbd140bae4e4da
f4d11b36a844a68bf9718cf720984468583efa6664fc99966115a44b9a20aa33 Ransom_Blocker.R002C0XFC24
0bf87b0e65713bf35c8cf54c9fa0015fa629624fd590cb4ba941cd7cdeda8050 TROJ_FRS.VSNTFH24
b380b771c7f5c2c26750e281101873772e10c8c1a0d2a2ff0aff1912b569ab93 TROJ_FRS.0NA104FH24
2e32c5cea00f8e4c808eae806b14585e8672385df7449d2f6575927537ce8884 Trojan.MSIL.EXNET.VSNW11F24
89[.]169[.]52[.]37
http://87[.]121[.]105[.]232/bin.ps1
http://79[.]110[.]49[.]232/plugin3.dll

建議改善措施：