Un groupe d’experts en sécurité a mis en lumière les tactiques du gang 8220, révélant leurs schémas de minage de cryptomonnaie exploitant les vulnérabilités des serveurs Oracle WebLogic. Trend Micro, une prestigieuse entreprise de cybersécurité, a identifié le style opérationnel d’une entité qu’ils ont surnommée Water Sigbin. Le groupe est tristement célèbre pour exploiter des failles de sécurité spécifiques, dont CVE-2017-3506, CVE-2017-10271, et la plus récente CVE-2023-21839, comme moyens de déployer des logiciels malveillants de minage.
L’approche de Water Sigbin est caractérisée par la discrétion, utilisant des méthodes sophistiquées d’exécution sans fichier. Ces processus impliquent une exécution réfléchie de DLL et une injection de processus, permettant au logiciel malveillant de fonctionner directement dans la mémoire de l’ordinateur, contournant les méthodes de détection habituelles qui reposent sur la présence de fichiers sur le disque.
Après avoir établi leur présence sur le serveur ciblé, Water Sigbin lance un script PowerShell pour initier un processus d’attaque en plusieurs phases, déguisant habilement leurs actions en utilisant les noms d’applications légitimes. La chaîne d’attaque se poursuit avec le déploiement d’un binaire déguisé qui déclenche l’exécution d’une DLL. Cet agent intermédiaire, connu sous le nom de PureCrypter, est chargé à la fois de collecter des informations système et de configurer le mineur de cryptomonnaie, tout en faisant des efforts pour le rendre invisible pour l’antivirus Defender de Microsoft.
Des interactions supplémentaires avec un serveur de commande et contrôle distant permettent au logiciel malveillant de recevoir des instructions chiffrées qui facilitent la récupération et l’exécution du composant de minage de cryptomonnaie. Cet élément de minage est habilement déguisé en un programme Microsoft authentique pour éviter la détection.
Dans un retournement intéressant, l’équipe QiAnXin XLab a récemment repéré un nouvel outil déployé par le même gang, nommé k4spreader, pour distribuer une gamme de charges malveillantes, y compris le botnet Tsunami DDoS et le mineur PwnRig. Ce logiciel malveillant multifonctionnel, encore en développement, exploite des vulnérabilités similaires pour se propager, vantant des fonctionnalités telles que l’auto-préservation, la mise à jour, et l’arrêt d’autres botnets concurrents.
Le développement continu et la sophistication d’outils comme k4spreader indiquent la menace continue que représentent des groupes comme le gang 8220 pour les serveurs vulnérables et les systèmes dans le monde entier.
Les serveurs Oracle WebLogic sont largement utilisés pour la construction et le déploiement d’applications d’entreprise. Les vulnérabilités exploitées par Water Sigbin peuvent permettre à un attaquant d’exécuter du code arbitraire à distance, ce qui peut conduire à la prise de contrôle complète du système, au vol de données, à la perturbation des services, et dans ce cas, le minage de cryptomonnaies. Les attaquants cherchent souvent de telles cibles de grande valeur car ils disposent de ressources informatiques significatives qui peuvent être utilisées pour miner des cryptomonnaies efficacement.
Le minage de cryptomonnaie, bien que moins nocif que le vol ou l’espionnage, peut entraîner des pertes financières importantes pour les organisations. Il consomme de vastes quantités de puissance de calcul et d’électricité, ce qui entraîne une augmentation des coûts opérationnels. De plus, la présence d’un mineur peut dégrader les performances et la stabilité des applications professionnelles critiques.
Les questions les plus importantes associées à ce sujet incluent :
– Comment les organisations peuvent-elles détecter et prévenir les attaques de logiciels malveillants sans fichier ? : La détection est difficile en raison des techniques d’évasion du logiciel malveillant. Les solutions incluent le renforcement des mécanismes de détection basés sur le comportement et l’utilisation de systèmes de protection avancée contre les menaces qui surveillent les activités en mémoire.
– Quelles sont les meilleures pratiques pour appliquer des correctifs et sécuriser les serveurs WebLogic ? : Appliquer régulièrement les correctifs de sécurité fournis par Oracle et imposer des contrôles d’accès stricts peut atténuer les risques. Les organisations devraient également effectuer des audits réguliers et surveiller le trafic réseau à la recherche de signes d’intrusion.
– Quelle est l’importance de l’utilisation de méthodes réfléchies de DLL et d’injection de processus ? : Ces techniques permettent à l’attaquant d’exécuter du code malveillant en mémoire sans laisser de traces sur le système de fichiers, rendant la détection et les investigations plus difficiles.
Le défi majeur dans la lutte contre de telles menaces de sécurité est de suivre le rythme auquel de nouvelles vulnérabilités et variantes de logiciels malveillants sont développées. De plus, les organisations ont souvent du mal à trouver l’équilibre entre la continuité opérationnelle et les temps d’arrêt nécessaires pour appliquer des correctifs et des mises à jour.
Les avantages de mesures de sécurité efficaces comprennent la protection des données sensibles, le maintien de l’intégrité des serveurs, et la prévention de l’utilisation non autorisée des ressources pour le minage de cryptomonnaie. Cependant, des mesures de sécurité strictes peuvent entraîner une augmentation des tâches administratives et pourraient potentiellement perturber des services critiques si elles ne sont pas gérées correctement.
Si vous souhaitez en savoir plus sur les analyses en cybersécurité de Trend Micro, visitez leur site web à Trend Micro. Pour des informations sur les derniers avis de sécurité et correctifs pour Oracle WebLogic Server, rendez-vous sur le site officiel d’Oracle à Oracle.
Des controverses peuvent survenir de l’équilibre entre rester à jour avec les correctifs et la praticité de le faire dans des environnements d’entreprise complexes où les changements peuvent introduire de nouveaux problèmes ou des temps d’arrêt. Malgré ces défis, la menace continue de telles attaques sophistiquées rend impératif que les organisations maintiennent des pratiques de cybersécurité rigoureuses.