Dengan menggunakan kerentanan di Oracle WebLogic Server, termasuk CVE-2017-3506 dan CVE-2023-21839, peneliti keamanan siber menemukan kampanye serangan canggih yang dilakukan oleh aktor ancaman Water Sigbin (alias 8220 Gang) menggunakan penambang bitcoin XMRig pada sistem yang diretas.
Skrip ini menerjemahkan payload yang dikodekan Base64 untuk memulai mekanisme pemuatan multi-tahap yang mengirimkan penambang XMRig dan pemuat PureCrypter.
Dilansir dari Liputanberita21.com Water Sigbin menggunakan berbagai strategi canggih agar tidak terdeteksi:
- Setiap kargo dilindungi. Alat perlindungan kode Net Reactor menyembunyikan kode dan menambahkan mekanisme anti-debugging.
- Menggunakan injeksi reflektif DLL dan pengosongan proses, di antara metode eksekusi tanpa file lainnya, malware menjalankan kode destruktif hanya di memori.
- Untuk menghindari kecurigaan, penambang XMRig meneruskan proses yang diizinkan termasuk cvtres.exe dan AddinProcess.exe.
Technical Analysis:
Serangan tersebut terdiri dari beberapa tahap dekripsi muatan, dekompresi, dan pemuatan:
- Skrip PowerShell awal menerjemahkan payload Base64.
- Muatan yang didekodekan berdasarkan wireguard 2-3.exe memuat DLL tahap kedua (Zxpus.dll) dari injeksi yang dipantulkan
- Mengambil biner terenkripsi dari Zxpus.dll, AES mendekodekannya, lalu GZip mendekompresi untuk mengekspos konfigurasi loader berikutnya. Deserialisasi juga mengungkapkan hal ini.
- Loader menghasilkan proses cvtres.exe dan menyuntikkan muatan tahap berikutnya CVTres.exe memuat DLL, pemuat PureCrypter Tixrgtluffu.dll
- PureCrypter mendaftar dengan server C2 dan mengunduh muatan penambang XMRig akhir.
Virus mengumpulkan data sistem termasuk ID CPU, spesifikasi disk drive, perangkat lunak AV yang diinstal, dll. Data ini dienkripsi dan dikirim ke server C2 di 89.185.85[.]102:9091 untuk identifikasi korban. Untuk melihat Attack flow bisa lihat gambar di bawah
Malware ini menggunakan refleksi DLL dan proses injeksi, menerapkan metode eksekusi tanpa file. Hal ini memungkinkan kode berbahaya beroperasi hanya di memori, sehingga menghindari sistem deteksi berbasis disk.
Untuk mencegah rekayasa balik, muatan yang digunakan dalam kampanye ini dilindungi dengan .NET Reactor, alat perlindungan kode .NET Keamanan ini menyembunyikan kode, sehingga menyulitkan penyerang untuk memahami dan menyalin.
Ini juga menggunakan strategi anti-debugging. Serangan dimulai dengan CVE-2017-3506 yang mengeksploitasi skrip PowerShell pada sistem yang disusupi.
Mendekode payload yang dikodekan Base64 tahap pertama, skrip ini menempatkan respons yang didekripsi dalam kunci registri di bawah jalur subkunci HKEY_CURRENT_USER\SOFTWARE\<Victim ID>
.
Menurut laporan Trend Micro, malware tersebut kemudian mengunduh file terenkripsi bernama plugin3.dll dan mendekripsinya menggunakan algoritma TripleDES dan mendekompresinya dengan Gzip. Loader membuat proses baru bernama AddinProcess.exe untuk meniru proses yang sah, menggunakan injeksi proses untuk memuat muatan XMRig ke dalam memori dan memulai proses baru.
XMRig, alat penambangan sumber terbuka terkenal yang mendukung beberapa sistem operasi, merupakan muatan terakhir. Ia meminta login penambangan dari URL kumpulan penambangan "217.182.205[.]238:80," dengan alamat dompet "ZEPHYR2xf9vMHptpxP6VY4hHwTe94b2L5SGYP9Czg57U8DwRT3RQvDd37eyKxoFJUYJvp5ivBbiFCAMyaKWUe9aPZzuNoDXYTtj2Z.c4k ."
Indicators of Compromise (IoC)
e6e69e85962a402a35cbc5b75571dab3739c0b2f3861ba5853dbd140bae4e4da
f4d11b36a844a68bf9718cf720984468583efa6664fc99966115a44b9a20aa33 - Ransom_Blocker.R002C0XFC24
0bf87b0e65713bf35c8cf54c9fa0015fa629624fd590cb4ba941cd7cdeda8050 - TROJ_FRS.VSNTFH24
b380b771c7f5c2c26750e281101873772e10c8c1a0d2a2ff0aff1912b569ab93 - TROJ_FRS.0NA104FH24
2e32c5cea00f8e4c808eae806b14585e8672385df7449d2f6575927537ce8884 - Trojan.MSIL.EXNET.VSNW11F24
[URL/IP address]
89[.]169[.]52[.]37
http://87[.]121[.]105[.]232/bin.ps1
http://79[.]110[.]49[.]232/plugin3.dll
Trend Micro menyarankan organisasi untuk menerapkan praktik terbaik keamanan seperti patching rutin, kontrol akses yang kuat, penilaian keamanan, dan pelatihan kesadaran karyawan untuk bertahan dari ancaman tersebut. Rekomendasi khusus meliputi:
- Selalu perbarui sistem dan perangkat lunak dengan patch keamanan terbaru
- Gunakan metode autentikasi yang kuat seperti autentikasi multifaktor
- Pindai kerentanan secara teratur
- Mendidik karyawan tentang praktik terbaik keamanan
- Gunakan deteksi titik akhir dan solusi respons untuk mendeteksi aktivitas berbahaya
Dengan mengeksploitasi kerentanan WebLogic, menggunakan taktik penghindaran tingkat lanjut, dan menyebarkan penambang XMRig, pelaku ancaman Water Sigbin sekali lagi menunjukkan kecanggihan teknisnya.