Detección de Ataques ScrubCrypt: La Banda 8220 Aplica un Malware Innovador en Operaciones de Cryptojacking Explotando Servidores Oracle WebLogic
Tabla de contenidos:
Actores de amenazas seguidos como 8220 Gang han sido observados aprovechando un nuevo cifrador llamado ScrubCrypt, que apunta a servidores Oracle WebLogic. Según investigadores de ciberseguridad, la cadena de infección se desencadena por la explotación exitosa de servidores Oracle WebLogic comprometidos y conduce a la propagación de ScrubCrypt al descargar un script de PowerShell.
Detectar Ataques de ScrubCrypt Dirigidos a Servidores Oracle WebLogic
En vista del crecimiento constante en volúmenes y sofisticación de campañas de cryptojacking, las organizaciones buscan una forma confiable de detectar ciberataques en las primeras etapas de su desarrollo. La última operación de 8220 Gang expone servidores Oracle WebLogic para proceder con la infección de ScrubCrypt, lo que representa una amenaza creciente para los defensores cibernéticos debido al uso de múltiples técnicas anti-análisis y evasivas.
Para ayudar a las organizaciones a detectar proactivamente la actividad maliciosa asociada con las infecciones de ScrubCrypt, la Plataforma de Detección como Código de SOC Prime ofrece una nueva regla Sigma por nuestro entusiasta desarrollador de Threat Bounty Aytek Aytemur:
La regla anterior detecta comandos sospechosos de PowerShell utilizados para pausar el procesador de comandos, ignorar cualquier pulsación de tecla y ejecutar el DLL en el curso de los ataques de malware de ScrubCrypt. La detección está alineada con el marco de MITRE ATT&CK v12, abordando las tácticas de Ejecución y Evasión de Defensa con Interpretador de Comandos y Scripts (T1059) e Inyección de Procesos (T1055) aplicados como técnicas principales. La regla Sigma puede traducirse automáticamente en 22 soluciones SIEM, EDR y XDR, reduciendo segundos en la detección de amenazas multiplataforma.
¿Buscas dominar tu conocimiento de Sigma y ATT&CK mientras perfeccionas habilidades de ingeniería de detección? ¿Emocionado por obtener reconocimiento entre profesionales de la industria y codificar tu CV para futuros empleadores? Únete a nuestro Programa de Threat Bounty para compartir tus reglas Sigma con más de 33,000 expertos de la comunidad global de defensores cibernéticos, obtener tu código verificado por expertos en el campo y obtener beneficios financieros mientras haces del mundo un lugar más seguro.
Para estar completamente equipado con contenido de detección contra muestras de malware de cryptojacking, presiona el botón Explorar Detecciones y accede a la extensa lista de reglas relevantes enriquecidas con CTI, referencias ATT&CK y otros metadatos operacionales accionables para fomentar la investigación de amenazas optimizada.
Distribución de Malware ScrubCrypt: Análisis de Ataque de Cryptojacking
Los investigadores de FortiGuard Labs han estado poniendo especial atención a las operaciones continuas de cryptojacking de 8220 Gang desde principios de 2023, en las que los actores de amenazas aprovechan una nueva cepa de malware apodada ScrubCrypt. ScrubCrypt es una nueva cepa de malware aplicada para asegurar aplicaciones a través de un método personalizado de empaquetado BAT.
Los actores de amenazas detrás de estos ataques de cryptojacking pertenecen a un infame colectivo de hackers de minado de criptomonedas conocido como 8220 Gang. Los actores de amenazas aplican un script malicioso de PowerShell para explotar servidores Oracle WebLogic a través de un URI HTTP específico y soltar ScrubCrypt en las instancias comprometidas, llevando a su ofuscación. El malware se aprovecha de técnicas de evasión de detección, funciones sofisticadas de cifrado y es capaz de eludir un conjunto de capacidades de análisis anti-malware, lo que representa un desafío para los defensores cibernéticos.
Los operadores de malware ScrubCrypt han estado en el centro de atención en el ámbito de amenazas cibernéticas desde 2017, utilizando principalmente sitios web de compartición de archivos públicos. El grupo recibió su apodo debido al uso original del puerto 8220 para comunicaciones de red. La actividad de 8220 Gang se dirige principalmente a usuarios de redes en la nube, incluidos clientes de AWS y Azure que ejecutan aplicaciones Linux sin parchear, sin embargo, en las últimas campañas de cryptojacking, los actores de amenazas ponen el ojo en la protección de Windows Defender. A mediados de verano de 2022, 8220 Gang, también conocido como 8220 Mining Group, explotó una nueva iteración del botnet IRC, minero de criptomonedas PwnRig, y ha estado experimentando con nuevos cifradores desde el comienzo de su actividad maliciosa.
Debido al aumento en el número de ataques que aprovechan los mineros de criptomonedas, los profesionales de seguridad buscan nuevas maneras de mejorar las capacidades de defensa cibernética y remediar las amenazas relacionadas. Equipa a tus equipos con mejores herramientas y accede instantáneamente a reglas Sigma para detectar ataques de cryptojacking actuales y emergentes y tradúcelas en cuestión de segundos en más de 27 soluciones SIEM, EDR, y XDR a través de Uncoder.IO — gratis y sin registro — ahorrando segundos en tus operaciones diarias de SOC.
