Pesquisadores de cibersegurança revelaram mais detalhes sobre a operação de mineração de criptomoedas conduzida pela gangue 8220, que explora falhas de segurança conhecidas no Oracle WebLogic Server. “O ator da ameaça emprega técnicas de execução sem arquivos, utilizando injeção de processos e DLL reflexiva, permitindo que o código malicioso seja executado exclusivamente na memória e evite mecanismos de detecção baseados em disco”, afirmaram os pesquisadores da Trend Micro, em uma nova análise.

A empresa está monitorando o ator financeiro sob o nome Water Sigbin, conhecido por explorar vulnerabilidades no Oracle WebLogic Server, como CVE-2017-3506, CVE-2017-10271 e CVE-2023-21839, para obter acesso inicial e carregar o payload do minerador através de uma técnica de carregamento em múltiplos estágios. Após estabelecer uma posição bem-sucedida, é implantado um script PowerShell responsável por carregar um loader de primeiro estágio (“wireguard2-3.exe”) que imita o aplicativo legítimo VPN WireGuard, mas que na verdade lança outro binário (“cvtres.exe”) na memória através de uma DLL (“Zxpus.dll”).

O executável injetado serve como um canal para carregar o loader PureCrypter (“Tixrgtluffu.dll”), que, por sua vez, exfiltra informações de hardware para um servidor remoto e cria tarefas agendadas para executar o minerador, além de excluir os arquivos maliciosos do Microsoft Defender Antivirus. Em resposta, o servidor de comando e controle (C2) responde com uma mensagem criptografada contendo os detalhes de configuração do XMRig, após o qual o loader recupera e executa o minerador de um domínio controlado pelo atacante, disfarçando-o como “AddinProcess.exe”, um binário legítimo da Microsoft.