ScrubCrypt-Angriffserkennung: 8220-Gang setzt neuartige Malware bei Cryptojacking-Operationen ein und nutzt Oracle WebLogic-Server aus
Inhaltsverzeichnis:
Bedrohungsakteure, die als 8220 Gang verfolgt werden, wurden beim Einsatz eines neuen Crypters namens ScrubCrypt beobachtet, der auf Oracle WebLogic-Server abzielt. Laut Cybersicherheitsforschern wird die Infektionskette durch die erfolgreiche Ausnutzung kompromittierter Oracle WebLogic-Server ausgelöst und führt zur Verbreitung von ScrubCrypt durch den Download eines PowerShell-Skripts.
Erkennung von ScrubCrypt-Angriffen auf Oracle WebLogic-Server
Angesichts der ständig wachsenden Volumina und Komplexität von Kryptomining-Kampagnen suchen Organisationen nach einer zuverlässigen Möglichkeit, Cyberangriffe bereits in den frühesten Entwicklungsstadien zu erkennen. Die neueste Operation der 8820 Gang setzt Oracle WebLogic-Server einer ScrubCrypt-Infektion aus und stellt aufgrund der Verwendung mehrerer Anti-Analyse- und Ausweichtechniken eine zunehmende Bedrohung für Cyberverteidiger dar.
Um Organisationen proaktiv bei der Erkennung bösartiger Aktivitäten im Zusammenhang mit ScrubCrypt-Infektionen zu unterstützen, bietet die Detection as Code Platform von SOC Prime eine neue Sigma-Regel unseres engagierten Threat Bounty-Entwicklers Aytek Aytemur:
Verdächtige PowerShell-Befehle zur Ausführung bösartiger DLLs durch ScrubCrypt-Malware (via cmdline)
Die oben genannte Regel erkennt verdächtige PowerShell-Befehle, die verwendet werden, um den Befehlsprozessor anzuhalten, Tastatureingaben zu ignorieren und die DLL im Verlauf von ScrubCrypt-Malware-Angriffen auszuführen. Die Erkennung ist an den MITRE ATT&CK Framework v12ausgerichtet und adressiert die Taktiken Ausführung und Verteidigungsumgehung mit Kommando- und Skriptinterpreter (T1059) und Prozessinjektion (T1055) als primäre Techniken. Die Sigma-Regel kann automatisch in 22 SIEM-, EDR- und XDR-Lösungen übersetzt werden und spart Sekunden bei der plattformübergreifenden Bedrohungserkennung.
Möchten Sie Ihre Sigma- und ATT&CK-Kenntnisse verbessern und gleichzeitig Ihre Fähigkeiten im Bereich der Detektionstechnik verfeinern? Interessieren Sie sich dafür, bei Branchenkollegen Anerkennung zu finden und Ihren Lebenslauf für zukünftige Arbeitgeber zu optimieren? Treten Sie unserem Threat Bounty Programm bei, um Ihre Sigma-Regeln mit über 33.000 Experten der globalen Cyberverteidiger-Gemeinschaft zu teilen, Ihren Code von Fachleuten überprüfen zu lassen und finanzielle Vorteile zu erlangen, während Sie die Welt zu einem sichereren Ort machen.
Um vollständig mit Erkennungsinhalten gegen Kryptomining-Malware-Muster ausgestattet zu sein, klicken Sie auf die Schaltfläche Explore Detections und greifen Sie auf die umfangreiche Liste relevanter Regeln zu, die mit CTI-, ATT&CK-Referenzen und anderen umsetzbaren operativen Metadaten angereichert sind, um eine reibungslose Bedrohungsuntersuchung zu fördern.
Verteilung von ScrubCrypt-Malware: Analyse von Kryptojacking-Angriffen
Forscher von FortiGuard Labs behalten seit Anfang 2023 die laufenden Kryptojacking-Operationen der 8220 Gang genau im Auge. Dabei nutzen Bedrohungsakteure einen neuartigen Malware-Stamm namens ScrubCrypt. ScrubCrypt ist ein neuartiger Malware-Stamm, der angewendet wird, um Anwendungen durch eine benutzerdefinierte BAT-Packing-Methode zu sichern.
Bedrohungsakteure hinter diesen Kryptojacking-Angriffen gehören zu einem berüchtigten Krypto-Miner-Hacker-Kollektiv, das als 8220 Gang bekannt ist. Bedrohungsakteure verwenden ein bösartiges PowerShell-Skript, um Oracle WebLogic-Server über eine bestimmte HTTP-URI auszunutzen und ScrubCrypt auf den kompromittierten Instanzen abzulegen, was zu deren Verschleierung führt. Die Malware nutzt Erkennungsausweichtechniken, ausgeklügelte Verschlüsselungsfunktionen und ist in der Lage, eine Reihe von Antischadsoftware-Analysefähigkeiten zu umgehen, was eine Herausforderung für Cyberverteidiger darstellt.
ScrubCrypt-Malware-Betreiber stehen seit 2017 im Rampenlicht der Cyber-Bedrohungsarena und nutzen in erster Linie öffentliche Dateifreigabe-Websites. Die Gruppe erhielt ihren Namen aufgrund der ursprünglichen Verwendung von Port 8220 für Netzwerkkommunikationen. Die Aktivität der 8220 Gang zielt hauptsächlich auf Cloud-Netzwerkbenutzer ab, darunter AWS- und Azure-Kunden, die ungepatchte Linux-Anwendungen ausführen. In den neuesten Kryptojacking-Kampagnen haben Bedrohungsakteure jedoch auch Windows Defender im Visier. Im Sommer 2022 nutzte die 8220 Gang, auch bekannt als 8220 Mining Group, eine neue Iteration des IRC-Botnets, PwnRig Cryptocurrency Miner, und experimentiert seit Beginn ihrer bösartigen Aktivitäten mit neuen Cryptern.
Aufgrund der zunehmenden Anzahl von Angriffen, die Kryptowährungs-Miner nutzen, suchen Sicherheitsexperten nach neuen Wegen, um die cyber Abwehrfähigkeiten zu verbessern und die damit verbundenen Bedrohungen zu beheben. Rüsten Sie Ihre Teams mit besseren Werkzeugen aus und greifen Sie sofort auf Sigma-Regeln zu, um aktuelle und aufkommende Kryptojacking-Angriffe zu erkennen und diese innerhalb von Sekunden in mehr als 27 SIEM-, EDR- und XDR-Lösungen über Uncoder.IO — kostenlos und ohne Registrierung — umzuwandeln und so Sekunden in Ihrem täglichen SOC-Betrieb einzusparen.
