根据 The Hacker News 的报道,多个受到影响的 Oracle WebLogic 服务器因为存在旧有的漏洞而成为 8220 Gang 加密货币操作的目标。这些漏洞分别跟踪为 CVE20173506、CVE201710271 和 CVE202321839。
研究显示,在成功渗透 WebLogic 服务器后,攻击者分发了一段 PowerShell 脚本,该脚本启动了一个伪装成初始载入器的 WireGuard VPN 应用程序,随后交付了 PureCrypter 加载程序。
重要信息:PureCrypter 可以实现硬件数据外泄、任务调度创建,并能将 Microsoft Defender Antivirus 文件排除在外。最终,攻击者的指挥控制服务器会启动 XMRig 加密货币矿工。
研究人员表示,该事件的进展与 QiAnXin XLab 团队的报告相呼应,报告中描述了 8220 Gang 如何利用新型的 k4spreader 安装工具分发 Tsunami 分布式拒绝服务DDoS僵尸网络和 PwnRig 加密矿工。
科学上上网工具下载据 QiAnXin XLab 研究人员透露:“k4spreader 是用 cgo 编写的,具备系统持久性、下载和自我更新以及释放其他恶意软件以供执行的能力。”
这样的安全事件再次提醒我们,及时修补服务器漏洞的重要性,以防止恶意软件攻击和数据泄露。
