TTL OSINT

28.06.2024 129 2 мин.

Изучение процедуры заражения Water Sigbin, приводящей к созданию криптоминера XM Rig

В статье обсуждается метод многоступенчатой загрузки, используемый злоумышленником Water Sigbin для доставки загрузчика PureCrypter и криптомайнера XMRIG. Злоумышленники используют уязвимости в Oracle WebLogic Server, в частности CVE-2017-3506 и CVE-2023-21839, для развертывания майнеров криптовалют с помощью сценариев PowerShell. Полезная нагрузка, используемая в ходе этой кампании, защищена с помощью .Net Reactor, программного обеспечения для защиты кода .NET от обратного проектирования. Вредоносное ПО выдает себя за законное VPN-приложение Wire Guard, чтобы обмануть пользователей и поисковые системы, заставив их поверить, что это подлинное программное обеспечение. Загрузчик первого этапа динамически извлекает, загружает и выполняет в памяти полезную нагрузку второго этапа, которая в конечном итоге преобразуется в Zxpus.dll. Загрузчик второго этапа динамически извлекает двоичный файл с именем Vewijfiv из своих ресурсов и расшифровывает его, используя алгоритм шифрования AES с указанным ключом и IV. Затем расшифрованная полезная нагрузка распаковывается и выполняется. Этот метод позволяет злоумышленникам избегать обнаружения и эффективно осуществлять свои вредоносные действия.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все заслуги и авторские права принадлежат авторам оригинала.

Ссылка: https://www.trendmicro.com/en_us/research/24/f/water-sigbin-xmrig.html

Примеры признаков компрометации:

• 0bf87b0e65713bf35c8cf54c9fa0015fa629624fd590cb4ba941cd7cdeda8050
• f4d11b36a844a68bf9718cf720984468583efa6664fc99966115a44b9a20aa33
• e6e69e85962a402a35cbc5b75571dab3739c0b2f3861ba5853dbd140bae4e4da
• 2e32c5cea00f8e4c808eae806b14585e8672385df7449d2f6575927537ce8884
• http://79.110.49.232/plugin3.dll

Новость дополняется...

Источник: TTL OSINT

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал