8220 Oracle WebLogicの欠陥を悪用してサーバーを乗っ取り、暗号通貨を採掘するギャングたち

8220 Gangとして知られる悪名高いクリプトジャッキンググループが、Oracle WebLogicサーバーの6年前のセキュリティ脆弱性を悪用して脆弱なインスタンスを侵害し、暗号通貨マイニングマルウェアを配布していることが発見されました。

問題の脆弱性はCVE-2017-3506（CVSSスコア：7.4）で、悪用に成功すると、不正な攻撃者がリモートで任意のコマンドを実行することが可能になります。

トレンドマイクロの研究者Sunil Bhartiの報告によると、この欠陥により、攻撃者は機密データへの不正アクセスやシステム全体の侵害が可能になるという。

8220 Gangは、2018年後半にCisco Talosによって最初に特定され、コマンド＆コントロール（C2）ネットワーク通信に8220番ポートを使用することからその名がつきました。

このグループは、公共のインターネット上で設定ミスや脆弱性のあるホストをスキャンすることで、潜在的なターゲットを特定します。侵害されたネットワークに侵入すると、8220 GangはSSHブルートフォース攻撃で横の動きをすることが知られています。

今年初め、Sydigは、2022年11月から2023年1月にかけてこの「低スキル」クライムウェアグループによって行われた攻撃の詳細を発表しました。彼らの目的は、暗号通貨マイナーを展開するために、脆弱なOracle WebLogicおよびApache Webサーバーを侵害することです。

8220 Gangは、PureCrypterと呼ばれる市販のマルウェアダウンローダーや、ScrubCryptと呼ばれる暗号化ソフトを使用して、マイナーのペイロードを隠し、セキュリティソフトウェアによる検出を回避していることも確認されています。

トレンドマイクロが記録した最新の攻撃チェーンでは、Oracle WebLogic Serverの脆弱性を利用してPowerShellペイロードを配信しています。このペイロードは、メモリ上に別の難読化されたPowerShellスクリプトを作成します。

新たに作成されたスクリプトは、WindowsのAntimalware Scan Interface（AMSI）検出を無効化し、リモートサーバーに連絡して「綿密に難読化」されたペイロードを取得するWindowsバイナリを実行する。

一方、中間DLLファイルは、3つのC2サーバーのうちの1つから暗号通貨マイナーをダウンロードするように設定されています： 179.43.155[.]202, work.letmaker[.]top, and su-94.letmaker[.]top. 通信は、TCPポート9090、9091、または9092で行われます。

トレンドマイクロは、最近の攻撃では、lwp-downloadというLinuxの正規のツールを悪用して、侵害されたホスト上に任意のファイルを保存することも行われていると指摘しています。

lwp-downloadは、さまざまなプラットフォームにデフォルトで存在するLinuxユーティリティであるため、8220 Gangによるマルウェアルーチンに組み込まれると、再利用された場合に複数のサービスに影響を与える可能性があります。Bharti氏は、ツールを再利用し、正規のユーティリティを悪用する同グループの傾向は、このツールを悪用する攻撃を防御するための検出およびブロック戦略という点で、セキュリティチームにとって課題となる、と警告しています。

---

私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099