8220 利用 Log4Shell 漏洞進行挖礦

研究人員近日發現 8220 組織正在利用 Log4Shell 漏洞攻擊 VMware Horizon 伺服器，以便後續進行挖礦獲利。受攻擊的目标系統中包含南韓能源企業，由于系統存在漏洞且未打更新檔，就被攻擊者集火攻擊。

Log4Shell（CVE-2021-44228）是 Java 日志程式 Log4j 的遠端代碼執行漏洞，攻擊者可以通過使日志中包含遠端 Java 對象來執行。

8220 團夥

8220 團夥是一個針對 Windows 與 Linux 系統進行攻擊的組織，自從 2017 年以來一直保持活躍。如果成功入侵系統，8220 主要通過挖礦來進行獲利。該團夥不局限于特定地域，而是針對全球發起攻擊。此前，8220 也利用 Atlassian Confluence 伺服器的漏洞 CVE-2022-26134 等進行攻擊。

如果漏洞成功，攻擊者會執行 PowerShell 指令來下載下傳并執行後續的 PowerShell 腳本，最終安裝門羅币礦機。

利用 Atlassian Confluence 漏洞執行的 PowerShell 指令

Fortinet 的研究人員近日發現 8220 開始利用 Oracle Weblogic 伺服器的漏洞安裝 ScrubCrypt。ScrubCrypt 是使用 .NET 開發的惡意軟體，也提供安裝其他惡意軟體的能力。通常來說，ScrubCrypt 最終會安裝門羅币礦機，這也是 8220 團夥的最終目标。

利用 Oracle Weblogic 漏洞攻擊執行的 PowerShell 指令

研究人員确認，8220 團夥近期一直在利用 Oracle Weblogic 漏洞以及 Log4Shell 漏洞下載下傳 ScrubCrypt，随後通過 ScrubCrypt 安裝門羅币礦機。

Log4Shell 攻擊

自從 2021 年 12 月被披露以來，Log4Shell 漏洞已經被廣泛利用。2022 年，Lazarus 組織也利用該漏洞發起攻擊并傳播 NukeSped 惡意軟體。攻擊者針對未打更新檔的 VMware Horizon 中存在的 log4j 漏洞，該産品是用于遠端工作與雲基礎架構的虛拟桌面解決方案。

分析日志發現，ws_tomcatservice.exe 程序安裝了 8220 團夥使用的門羅币礦機。

通過 ws_tomcatservice.exe 程序執行的 PowerShell 指令

沒有完整的網絡資料包，但從 VMware Horizon 的 ws_tomcatservice.exe 程序執行 PowerShell 指令與 8220 團夥常用的攻擊方式來看，很可能是通過 Log4Shell 漏洞實作的攻擊。

PowerShell 指令執行日志

ScrubCrypt 與 XMRig CoinMiner 分析

惡意軟體程序樹

利用 Log4Shell 漏洞攻擊下載下傳并執行的 PowerShell 腳本，腳本檔案名為 bypass.ps1。盡管惡意軟體的代碼有所不同，但檔案名稱與功能基本類似。

bypass.ps1 PowerShell 腳本

bypass.ps1 是帶混淆的 PowerShell 腳本，簡單去混淆後如下所示：

PowerShell 腳本

腳本首先繞過 AMSI，随後在 %TEMP%PhotoShop-Setup-2545.exe 路徑中建立并執行内嵌的惡意軟體。PhotoShop-Setup-2545.exe 是由 .NET 開發的 Downloader 類惡意軟體，會下載下傳惡意代碼并将其注入 RegAsm.exe。

.Net 惡意軟體

在 RegAsm.exe 程序中注入并執行的惡意軟體經過混淆處理，但與 Fortinet 研究ScrubCrypt 的相似性來看，很可能是 ScrubCrypt 類型的惡意軟體。用于攻擊的 ScrubCrypt 中包含 3 個 C&C 的 URL 與 4 個端口（58001、58002、58003 和 58004）。

ScrubCrypt（RegAsm.exe）的 C&C URL

ScrubCrypt 連接配接到 C&C 伺服器并下載下傳其他惡意代碼，實際中也發現了安裝門羅币礦機的指令。

安裝 XMRig CoinMiner 的 PowerShell 指令

deliver1.exe 是用于下載下傳并執行注入的惡意軟體，将 ScrubCrypt 儲存在 MSBuild.exe 的内部資源中。該 ScrubCrypt 中包含 2 個 C&C URL 與 4 個端口号（9090、9091、9092 和 8444）。

ScrubCrypt（MSBuild.exe）的 C&C URL

惡意軟體下載下傳

ScrubCrypt 會在系統資料庫中增加：執行礦機時使用的配置資料（注入目标程序、礦池位址、錢包位址與礦機下載下傳位址）、資料檔案 plugin_3.dll、plugin_4.dll。

系統資料庫資料

plugin_4.dll 是一種經過編碼的 .NET 惡意軟體，其主要功能是解碼 plugin_3.dll 檔案。釋放礦機，并将 plugin_3.dll 注入指定的良性程序 AddInProcess.exe。

礦機注入的配置資料

攻擊者的門羅币錢包位址與之前發現針對 Atlassian Confluence 漏洞攻擊、針對 Oracle Weblogic 漏洞攻擊中所使用的門羅币位址相同，8220 團夥一直使用相同的錢包位址。

結論

8220 團夥針對未打更新檔的系統發起攻擊，安裝門羅币礦機進行挖礦獲利。該組織不僅針對存在漏洞的 Atlassian Confluence 發起攻擊，也針對存在 Log4Shell 漏洞的 VMware Horizon 發起攻擊。

IOC

hxxp://163.123.142[.]210/bypass.ps1

hxxp://77.91.84[.]42/bypass.ps1

hxxp://77.91.84[.]42/Whkpws.png

hxxp://77.91.84[.]42/deliver1.exe

hxxp://77.91.84[.]42/plugin_3.dll

hxxp://77.91.84[.]42/plugin_4.dll

翻譯自：https://asec.ahnlab.com/en/51568/