A gangue 8220 está explorando a vulnerabilidade Log4Shell para instalar o CoinMiner nos servidores VMware Horizon. Este ataque visa especificamente sistemas não corrigidos e vulneráveis de empresas coreanas relacionadas à energia, deixando-os suscetíveis a vários invasores.

Um log revelou que o processo ws_tomcatservice.exe, recentemente considerado vulnerável, instalou o malware CoinMiner. Embora o pacote detalhado não tenha sido identificado, o log do ataque indica que o comando PowerShell foi executado por meio do processo ws_tomcatservice.exe do VMware Horizon.

Além disso,o grupo tem como alvo sistemas vulneráveis usando vulnerabilidades do Oracle Weblogic para baixar o ScrubCrypt que se conecta aos servidores C&C para baixar comandos adicionais, incluindo a instalação do XMRig CoinMiner.

Entre janeiro e fevereiro, a Gangue 8220 foi encontrada visando vulnerabilidades do servidor Oracle Weblogic usando ScrubCrypt para evitar a detecção e realizar ataques de mineração.

Para evitar tais ataques, os administradores de sistema são aconselhados a verificar se seus servidores VMware existentes são suscetíveis e aplicar os patches mais recentes.