innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

8220 Gang、Oracleの脆弱性を突き暗号通貨マイニングを展開

8220 Gang、Oracleの脆弱性を突き暗号通貨マイニングを展開 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-29 05:18 by admin

セキュリティ研究者たちは、8220 GangがOracle WebLogic Serverの既知のセキュリティ脆弱性を悪用して暗号通貨マイニングを行っていることについて詳細を明らかにした。この脅威アクターは、ファイルレス実行技術を使用し、DLLリフレクティブおよびプロセスインジェクションを通じてマルウェアコードをメモリ内でのみ実行し、ディスクベースの検出メカニズムを回避する。サイバーセキュリティ企業Trend Microは、この金銭目的のアクターをWater Sigbinとして追跡しており、CVE-2017-3506、CVE-2017-10271、CVE-2023-21839などのOracle WebLogic Serverの脆弱性を悪用して初期アクセスを行い、マルチステージローディング技術を介してマイナーペイロードをドロップすることが知られている。

成功した侵入後、PowerShellスクリプトがデプロイされ、これが第一段階のローダー(“wireguard2-3.exe”)をドロップする。このローダーは正規のWireGuard VPNアプリケーションを模倣しているが、実際には別のバイナリ(“cvtres.exe”)をDLL(“Zxpus.dll”)を介してメモリ内で起動する。この実行可能ファイルは、PureCrypterローダー(“Tixrgtluffu.dll”)をロードするための媒介として機能し、これによりハードウェア情報がリモートサーバーに外部流出し、マイナーを実行するためのスケジュールタスクが作成され、マイクロソフトディフェンダーアンチウイルスから悪意のあるファイルが除外される。その後、C2サーバーはXMRig設定の詳細を含む暗号化されたメッセージで応答し、ローダーは攻撃者が制御するドメインからマイナーを取得して実行する。

さらに、QiAnXin XLabチームは、8220 Gangが少なくとも2024年2月以降にTsunami DDoSボットネットとPwnRigマイニングプログラムを配布するために使用している新しいインストーラーツールk4spreaderについて詳述している。このマルウェアは現在開発中であり、Apache Hadoop YARN、JBoss、Oracle WebLogic Serverなどのセキュリティ脆弱性を悪用してターゲットに侵入している。k4spreaderはcgoで書かれており、システムの永続性、自己のダウンロードと更新、その他のマルウェアの実行リリースなどの機能を備えている。また、ファイアウォールを無効にし、競合するボットネット(例:kinsing)を終了させ、運用状況を表示するように設計されている。

【ニュース解説】

Oracle WebLogic Serverのセキュリティ脆弱性を悪用して、8220 Gangと呼ばれるサイバー犯罪集団が暗号通貨マイニングを行っていることが、セキュリティ研究者によって明らかにされました。この集団は、ファイルレス実行技術を駆使し、マルウェアをメモリ内だけで実行することで、従来のディスクベースの検出手法を回避しています。この手法により、Oracle WebLogic Serverの既知の脆弱性を利用してシステムに侵入し、暗号通貨マイナーを導入する複雑な攻撃を実行しています。

この攻撃は、正規のアプリケーションを模倣したローダーを使用して、さらに別の実行可能ファイルをメモリ内で起動し、最終的にはマイナーを実行するという、複数段階にわたるプロセスを経ています。攻撃者は、マイクロソフトのセキュリティソフトウェアを回避するために、マイナー実行に必要なスケジュールタスクの作成や、悪意のあるファイルをアンチウイルスの検出から除外するなどの手法を用いています。

また、別のツールであるk4spreaderを使用して、Tsunami DDoSボットネットやPwnRigマイニングプログラムを配布していることも報告されています。このツールは、システムの永続性を確保し、自身をダウンロード・更新する機能や、ファイアウォールを無効にする機能などを備えており、他のマルウェアの実行も可能にしています。

このような攻撃は、企業や組織のセキュリティ体制にとって大きな脅威となります。特に、セキュリティパッチが適用されていない古いシステムや、定期的なセキュリティチェックが行われていない環境では、このような攻撃に対して脆弱性を露呈しやすくなります。

このニュースから学ぶべき重要なポイントは、セキュリティ脆弱性を定期的にチェックし、利用可能なパッチを迅速に適用することの重要性です。また、ファイルレスマルウェアに対する防御策として、メモリスキャンや異常行動検知などの先進的なセキュリティソリューションの導入も検討する必要があります。

長期的な視点では、このような攻撃手法の進化に対応するためには、セキュリティ技術の継続的な更新と、セキュリティ意識の高い文化の醸成が不可欠です。企業や組織は、セキュリティ対策を単なるコストと捉えるのではなく、ビジネスを守るための重要な投資として位置づけるべきでしょう。

from 8220 Gang Exploits Oracle WebLogic Server Flaws for Cryptocurrency Mining.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 8220 Gang、Oracleの脆弱性を突き暗号通貨マイニングを展開

Latest News