فريق الأمن قد كشف عن عملية تعدين للعملات المشفرة تُنفذ بواسطة عصابة تُعرف باسم "8220 Gang". هذه العصابة تستفيد من ثغرات أمنية في خادم Oracle WebLogic Server للوصول غير المشروع إلى الأنظمة. يستخدمون تقنيات تنفيذ بدون ملفات، مما يتيح لبرامجهم الضارة العمل في الذاكرة دون أن تتم رؤيتها على القرص، ما يساعدهم على تفادي أنظمة الكشف القائمة على القرص.
باستخدام سكربت PowerShell، يُنشئون برامج يُقنِّن تحت اسم "wireguard2-3.exe"، والذي يندرج تحت مظهر تطبيق VPN شهير، لكنه في الحقيقة يفتح برنامجًا آخر في الذاكرة يقوم بنقل بيانات الأجهزة وتنفيذ عمليات تعدين العملات المشفرة بشكل غير مرئي. يتجنب هذا البرنامج الضار اكتشاف Microsoft Defender Antivirus، ويستجيب لأوامر خادم التحكم والتحكم (C2) لتنزيل وتشغيل برامج التعدين مثل "XMRig" من خلال تقنية التنكر باسم "AddinProcess.exe"، ما يزيد من صعوبة اكتشافه وتتبعه.
0 التعليقات:
إرسال تعليق