【安全圈】Log4Shell漏洞持续威胁，挖矿风险加剧

研究人员近日发现8220组织正在利用Log4Shell漏洞攻击VMware Horizon服务器，以便后续进行挖矿获利。受攻击的目标系统中包含韩国能源企业，由于系统存在漏洞且未打补丁，就被攻击者集火攻击。

Log4Shell（CVE-2021-44228）是Java日志程序Log4j的远程代码执行漏洞，攻击者可以通过使日志中包含远程Java对象来执行。

8220团伙

8220团伙是一个针对Windows与Linux系统进行攻击的组织，自从2017年以来一直活跃。如果成功入侵系统，8220主要通过挖矿来获利。该团伙不局限于特定地域，而是全球范围内发起攻击。此前，8220也利用Atlassian Confluence服务器的漏洞CVE-2022-26134等进行攻击。

如果利用漏洞成功，攻击者会执行PowerShell命令来下载并执行后续的PowerShell脚本，最终安装门罗币矿机。

利用Atlassian Confluence漏洞执行的PowerShell命令

近日，Fortinet的研究人员发现8220开始利用Oracle Weblogic服务器的漏洞安装ScrubCrypt。ScrubCrypt是一种使用.NET开发的恶意软件，可以安装其他恶意软件。通常情况下，ScrubCrypt最终会安装门罗币矿机，这也是8220团伙的最终目标。

利用Oracle Weblogic漏洞攻击执行的PowerShell命令

研究人员确认，8220团伙最近一直在利用Oracle Weblogic漏洞和Log4Shell漏洞下载ScrubCrypt，并通过ScrubCrypt安装门罗币矿机。

Log4Shell攻击

自从2021年12月被披露以来，Log4Shell漏洞已经被广泛利用。2022年，Lazarus组织也利用该漏洞发起攻击并传播NukeSped恶意软件。攻击者针对未打补丁的VMware Horizon中存在的log4j漏洞，该产品是用于远程工作与云基础架构的虚拟桌面解决方案。

分析日志发现，ws_tomcatservice.exe进程安装了8220团伙使用的门罗币矿机。

通过ws_tomcatservice.exe进程执行的PowerShell命令

尽管没有完整的网络数据包，但根据VMware Horizon的ws_tomcatservice.exe进程执行PowerShell命令与8220团伙常用的攻击方式来看，很可能是通过Log4Shell漏洞进行的攻击。

PowerShell命令执行日志

ScrubCrypt与XMRigCoinMiner分析

恶意软件进程树

利用Log4Shell漏洞攻击下载并执行的PowerShell脚本，脚本文件名为bypass.ps1。尽管恶意软件的代码有所不同，但文件名称与功能基本类似。

bypass.ps1 PowerShell脚本

bypass.ps1是带有混淆的PowerShell脚本，去除混淆后如下所示：

PowerShell脚本

此脚本首先绕过AMSI，然后在%TEMP%PhotoShop-Setup-2545.exe路径中创建并执行内嵌的恶意软件。PhotoShop-Setup-2545.exe是以.NET开发的Downloader类恶意软件，它会下载恶意代码并将其注入RegAsm.exe。

.Net恶意软件

在RegAsm.exe进程中注入并执行的恶意软件已经过混淆处理，但与Fortinet研究ScrubCrypt的相似性来看，很可能是一种类似ScrubCrypt的恶意软件。该ScrubCrypt包含3个CC的URL和4个端口（58001、58002、58003和58004）。

ScrubCrypt（RegAsm.exe）的CC地址

ScrubCrypt连接到CC服务器并下载其他恶意代码，实际中也发现了安装门罗币矿机的命令。

安装XMRigCoinMiner的PowerShell命令

deliver1.exe是用于下载并执行注入的恶意软件，将ScrubCrypt保存在MSBuild.exe的内部资源中。该ScrubCrypt包含2个CC地址和4个端口号（9090、9091、9092和8444）。

ScrubCrypt（MSBuild.exe）的CC地址

恶意软件下载

ScrubCrypt在注册表中增加了执行矿机时使用的配置数据（注入目标进程、矿池地址、钱包地址和矿机下载地址）、数据文件plugin_3.dll和plugin_4.dll。

注册表数据

plugin_4.dll是一种经过编码的.NET恶意软件，它的主要功能是解码plugin_3.dll文件，释放矿机，并将plugin_3.dll注入到指定的良性进程AddInProcess.exe中。

矿机注入的配置数据

攻击者使用的门罗币钱包地址与之前针对Atlassian Confluence漏洞攻击和Oracle Weblogic漏洞攻击中使用的门罗币地址相同，8220团伙一直使用相同的钱包地址。

结论

8220团伙针对未打补丁的系统发起攻击，安装门罗币矿机进行挖矿获利。该组织不仅针对存在漏洞的Atlassian Confluence发起攻击，也针对存在Log4Shell漏洞的VMware Horizon发起攻击。

安全圈

网罗圈内热点，专注网络安全。

实时资讯，一手掌握！

好看就分享，有用就点个赞。

支持「安全圈」就点个三连吧！

特别声明：以上内容（如有图片或视频亦包括在内）为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

来源：