Rilevamento Attacco ScrubCrypt: 8220 Gang Applica Nuovo Malware in Operazioni di Cryptojacking Sfruttando i Server Oracle WebLogic
Indice:
Gli attori della minaccia monitorati come 8220 Gang sono stati osservati mentre sfruttano un nuovo crypter chiamato ScrubCrypt, che prende di mira i server Oracle WebLogic. Secondo i ricercatori di cybersecurity, la catena di infezione è innescata dal successo dello sfruttamento di server Oracle WebLogic compromessi e porta alla diffusione di ScrubCrypt scaricando uno script PowerShell.
Rileva attacchi ScrubCrypt che prendono di mira i server Oracle Weblogic
In vista dei volumi e della sofisticazione in costante crescita delle campagne di cryptomining, le organizzazioni cercano un modo affidabile per rilevare gli attacchi informatici nelle prime fasi del loro sviluppo. L’ultima operazione della 8820 Gang espone i server Oracle WebLogic procedendo con l’infezione di ScrubCrypt, rappresentando una crescente minaccia per i difensori informatici a causa dell’uso di tecniche multiple di anti-analisi e elusione.
Per aiutare le organizzazioni a rilevare proattivamente le attività dannose associate alle infezioni da ScrubCrypt, la piattaforma Detection as Code di SOC Prime offre una nuova regola Sigma dal nostro acuto sviluppatore Threat Bounty Aytek Aytemur:
Comandi PowerShell sospetti per eseguire DLL maligne da parte del malware ScrubCrypt (via cmdline)
La regola sopra rileva comandi PowerShell sospetti utilizzati per mettere in pausa il processore di comandi, ignorare i tocchi dei tasti ed eseguire il DLL durante gli attacchi malware ScrubCrypt. La rilevazione è allineata con il framework MITRE ATT&CK v12, affrontando i tattiche di Execution and Defense Evasion con Command and Scripting Interpreter (T1059) e Process Injection (T1055) applicati come tecniche primarie. La regola Sigma può essere automaticamente tradotta in 22 soluzioni SIEM, EDR e XDR riducendo i secondi per il rilevamento delle minacce multipiattaforma.
Vuoi padroneggiare la tua conoscenza di Sigma e ATT&CK mentre affini le abilità di ingegneria della rilevazione? Sei entusiasta di ottenere riconoscimento tra i colleghi del settore e migliorare il tuo CV per i datori di lavoro futuri? Unisciti al nostro Programma Threat Bounty per condividere le tue regole Sigma con oltre 33.000 esperti della comunità globale dei difensori cibernetici, far verificare il tuo codice da esperti del campo e ottenere benefici finanziari contribuendo a rendere il mondo un posto più sicuro.
Per essere completamente equipaggiato con contenuti di rilevazione contro i campioni di malware per il cryptominging, premi il Esplora Rilevazioni pulsante e accedi all’ampia lista di regole rilevanti arricchite con riferimenti CTI, ATT&CK e metadati operativi utili per favorire un’indagine sulle minacce semplificata.
Distribuzione del malware ScrubCrypt: Analisi dell’attacco di cryptojacking
I ricercatori di FortiGuard Labs hanno monitorato attentamente le operazioni di cryptojacking in corso dell’8220 Gang dall’inizio del 2023, in cui gli attori della minaccia sfruttano una nuova variante di malware denominata ScrubCrypt. ScrubCrypt è una nuova variante di malware applicata per mettere in sicurezza le applicazioni attraverso un metodo di impaccatura personalizzato BAT.
Gli attori della minaccia dietro questi attacchi di cryptojacking appartengono a un famigerato collettivo di hacker minerari di criptovaluta noto come 8220 Gang. Gli attori malintenzionati applicano uno script PowerShell dannoso per sfruttare i server Oracle WebLogic tramite un URI HTTP specifico e distribuiscono ScrubCrypt sulle istanze compromesse portando alla loro offuscazione. Il malware utilizza tecniche di elusione della rilevazione, funzioni di crittografia sofisticate ed è in grado di bypassare un insieme di funzionalità di analisi antimalware, il che rappresenta una sfida per i difensori informatici.
Gli operatori di malware ScrubCrypt sono stati al centro della scena nella cyber minaccia sin dal 2017, utilizzando principalmente siti web di condivisione file pubblici. Il gruppo ha ricevuto il suo soprannome a causa dell’uso originale della porta 8220 per le comunicazioni di rete. L’attività dell’8220 Gang prende di mira principalmente gli utenti di reti cloud, inclusi i clienti AWS e Azure che eseguono applicazioni Linux non aggiornate, tuttavia, nelle ultime campagne di cryptojacking, gli attori della minaccia hanno rivolto l’attenzione alla protezione di Windows Defender. A metà estate 2022, l’8220 Gang, alias 8220 Mining Group, ha sfruttato un nuova iterazione del botnet IRC, PwnRig cryptocurrency miner, e ha sperimentato nuovi crypter sin dall’inizio della loro attività dannosa.
A causa del numero crescente di attacchi che sfruttano i miner di criptovalute, i professionisti della sicurezza stanno cercando nuovi modi per migliorare le capacità di difesa cibernetica e rimediare alle minacce correlate. Equipaggia i tuoi team con strumenti migliori e accedi istantaneamente alle regole Sigma per rilevare attacchi di cryptojacking attuali ed emergenti e tradurli in un batter d’occhio in oltre 27 soluzioni SIEM, EDR e XDR tramite Uncoder.IO — gratuitamente e senza registrazione — risparmiando tempo sulle tue operazioni quotidiane di SOC.
