Détection de l’attaque ScrubCrypt : le gang 8220 utilise un nouveau malware dans des opérations de cryptojacking exploitant des serveurs Oracle WebLogic
Table des matières :
Les acteurs de la menace suivis comme 8220 Gang ont été observés en train d’exploiter un nouveau crypteur appelé ScrubCrypt, qui cible les serveurs Oracle WebLogic. Selon les chercheurs en cybersécurité, la chaîne d’infection est déclenchée par l’exploitation réussie de serveurs Oracle WebLogic compromis et conduit à la prolifération de ScrubCrypt par le téléchargement d’un script PowerShell.
Détecter les attaques ScrubCrypt ciblant les serveurs Oracle WebLogic
Face à l’augmentation constante des volumes et de la sophistication des campagnes de cryptominage, les organisations recherchent un moyen fiable de détecter les cyberattaques dès les premières étapes de leur développement. La dernière opération du gang 8220 expose les serveurs Oracle WebLogic pour procéder à l’infection ScrubCrypt, posant une menace croissante pour les défenseurs du cyberespace en raison de l’utilisation de techniques anti-analyse et d’évasion multiples.
Pour aider les organisations à détecter de manière proactive les activités malveillantes associées aux infections ScrubCrypt, la plateforme Detection as Code de SOC Prime propose une nouvelle règle Sigma par notre développeur Threat Bounty avisé Aytek Aytemur:
La règle ci-dessus détecte les commandes PowerShell suspectes utilisées pour suspendre le processeur de commandes, ignorer toute frappe de touche et exécuter la DLL au cours des attaques de malware ScrubCrypt. La détection est alignée avec le cadre MITRE ATT&CK v12, abordant les tactiques d’exécution et d’évasion de la défense avec Command and Scripting Interpreter (T1059) et Process Injection (T1055) appliqués comme techniques principales. La règle Sigma peut être automatiquement traduite dans 22 solutions SIEM, EDR et XDR réduisant ainsi de précieuses secondes pour la détection de menaces multi-plateformes.
Vous efforcez-vous de maîtriser vos connaissances en Sigma et ATT&CK tout en améliorant vos compétences en ingénierie de détection ? Enthousiasmé à l’idée d’obtenir la reconnaissance parmi vos pairs de l’industrie et de coder votre CV pour de futurs employeurs ? Rejoignez notre Programme Threat Bounty pour partager vos règles Sigma avec plus de 33 000 experts de la communauté mondiale des défenseurs du cyberespace, faire vérifier votre code par des experts du domaine et obtenir des avantages financiers tout en rendant le monde plus sûr.
Pour être pleinement équipé de contenu de détection contre les échantillons de malware de cryptominage, cliquez sur le bouton Explorez les détections et accédez à la liste exhaustive de règles pertinentes enrichies de CTI, de références ATT&CK et d’autres métadonnées opérationnelles exploitables pour favoriser une enquête de menace rationalisée.
Distribution de ScrubCrypt Malware : Analyse de l’attaque de cryptojacking
Les chercheurs de FortiGuard Labs suivent de près les opérations de cryptojacking en cours du Gang 8220 depuis le début de 2023, dans lesquelles les acteurs de la menace exploitent une nouvelle souche de malware appelée ScrubCrypt. ScrubCrypt est une nouvelle souche de malware appliquée pour sécuriser les applications via une méthode d’emballage BAT personnalisée.
Les acteurs de la menace derrière ces attaques de cryptojacking appartiennent à un collectif de piratage de mineurs de cryptomonnaie infâme connu sous le nom de 8220 Gang. Les acteurs de la menace appliquent un script PowerShell malveillant pour exploiter les serveurs Oracle WebLogic via un URI HTTP spécifique et déposent ScrubCrypt sur les instances compromises conduisant à leur obfuscation. Le malware utilise des techniques d’évasion de détection, des fonctions de chiffrement sophistiquées et est capable de contourner un ensemble de capacités d’analyse anti-malware, ce qui constitue un défi pour les défenseurs du cyberespace.
Les opérateurs de malware ScrubCrypt ont été sous les feux de la rampe dans le domaine des cybermenaces depuis 2017, utilisant principalement des sites de partage de fichiers publics. Le groupe a reçu son surnom en raison de l’utilisation originale du port 8220 pour les communications réseau. L’activité du Gang 8220 cible principalement les utilisateurs de réseaux cloud, y compris les clients AWS et Azure qui exécutent des applications Linux non corrigées. Cependant, dans les dernières campagnes de cryptojacking, les acteurs de la menace se concentrent sur la protection Windows Defender. À la mi-été 2022, le Gang 8220, également connu sous le nom de 8220 Mining Group, a exploité une nouvelle itération du botnet IRC, PwnRig cryptocurrency miner, et a expérimenté de nouveaux crypteurs depuis le début de leur activité malveillante.
En raison du nombre croissant d’attaques exploitant des mineurs de cryptomonnaie, les professionnels de la sécurité recherchent de nouvelles façons d’améliorer les capacités de défense cyber et de remédier aux menaces associées. Équipez vos équipes d’un meilleur outillage et accédez instantanément aux règles Sigma pour détecter les attaques de cryptojacking actuelles et émergentes, et transformez-les en quelques secondes en plus de 27 solutions SIEM, EDR et XDR via Uncoder.IO — gratuitement et sans inscription — réduisant ainsi le temps de vos opérations quotidiennes du SOC.
