ScrubCrypt攻撃検出：8220ギャングがオラクルWebLogicサーバーを悪用したクリプトジャッキング作戦で新しいマルウェアを適用

追跡されている脅威アクターとして知られる 8220ギャング が、新しい暗号化ツールScrubCryptを利用しているところが観察されています。これはOracle WebLogicサーバーを標的としています。サイバーセキュリティ研究者によると、この感染チェーンはOracle WebLogicサーバーが侵害された際に引き起こされ、PowerShellスクリプトをダウンロードすることでScrubCryptを拡散します。

Oracle WebLogicサーバーを標的とするScrubCrypt攻撃の検出

暗号通貨マイニングキャンペーンが増大する中、組織はサイバー攻撃を早期に検出する信頼できる方法を求めています。最新の8820ギャングの作戦はOracle WebLogicサーバーを露出させてScrubCryptの感染を進行させ、多数の分析回避技術を使用するため、サイバー防御者にとって増大する脅威となっています。

組織がScrubCrypt感染に関連する悪意のある活動をプロアクティブに検出するために、SOC PrimeのDetection as Codeプラットフォームは、意欲的なThreat Bounty開発者による新しいSigmaルールを提供しています。 Aytek Aytemur: 

ScrubCryptマルウェアによる悪意のあるDLLを実行する疑わしいPowerShellコマンド（コマンドライン経由）

上記のルールは、ScrubCryptマルウェア攻撃の過程でコマンドプロセッサを一時停止し、キー入力を無視し、DLLを実行する疑わしいPowerShellコマンドを検出します。この検出はMITRE ATT&CK v12フレームワークと連携し、コマンドおよびスクリプトインタープリタ（T1059）とプロセスインジェクション（T1055）の実行と防御回避戦術に対処しています。このSigmaルールは、プラットフォーム横断的な脅威検出にかかる時間を数秒削減し、22のSIEM、EDR、XDRソリューションに自動翻訳できます。 MITRE ATT&CKフレームワークv12、コマンドおよびスクリプトインタープリタ（T1059）とプロセスインジェクション（T1055）を主な手法として、実行と防御回避戦術に対応しています。このSigmaルールは、プラットフォーム間の脅威検出を数秒削減して22のSIEM、EDR、およびXDRソリューションに自動的に翻訳できます。

SigmaとATT&CKの知識をマスターしながら検出エンジニアリングスキルを磨きたいですか？業界の仲間に認識され、将来の雇用主のために履歴書をコード化することに興奮していますか？私たちの Threat Bountyプログラム に参加して、Sigmaルールを広めるために33,000人以上のサイバー防衛者コミュニティと共有し、専門家によってコードを検証して財務上の利益を得て、世界をより安全な場所にしましょう。 

暗号通貨マイニングマルウェアサンプルに対する検出コンテンツを完全に装備するには、 detectionsを探索 ボタンを押して、CTI、ATT&CKのリファレンス、および他の行動可能な運用メタデータで強化された関連ルールの広範なリストにアクセスして、効率的な脅威調査を推進します。

detectionsを探索

ScrubCryptマルウェア配布：暗号通貨強奪攻撃分析

FortiGuard Labsの研究者は 8220ギャングによる現在進行中の暗号通貨強奪作戦を2023年初めから注視しており、脅威アクターはScrubCryptと呼ばれる新しいマルウェア系統を利用しています。ScrubCryptは、カスタムBATパックメソッドを使用してアプリケーションを保護するために適用される新しいマルウェア系統です。 

これらの暗号通貨強奪攻撃の背後にいる脅威アクターは、悪名高い暗号通貨マイナーのハッキング集団として知られる8220ギャングに属しています。脅威アクターは、特定のHTTP URIを介してOracle WebLogicサーバーを利用する悪意のあるPowerShellスクリプトを適用し、侵害されたインスタンスにScrubCryptを配置し、それにより難読化を引き起こします。このマルウェアは、検出回避技術、高度な暗号化機能を利用し、一連のアンチマルウェア分析機能を回避できるため、サイバー防御者にとって課題となります。

ScrubCryptマルウェアの運営者は2017年からサイバー脅威の舞台で注目を集めており、主に公共のファイル共有ウェブサイトを利用しています。このグループは、ネットワーク通信のためのポート8220の使用にちなんで名付けられました。8220ギャングの活動は主に、AWSやAzureの未修正のLinuxアプリケーションを実行しているクラウドネットワークユーザーを対象としているが、最新の暗号通貨強奪キャンペーンでは脅威アクターがWindows Defenderの保護に目を付けています。2022年夏中頃、8220ギャング、別名8220マイニンググループは、IRCボットネットの新しいバージョンである PwnRig暗号通貨マイナーを利用し、悪意のある活動の開始から新しい暗号化ツールを実験してきました。

暗号通貨マイナーを利用した攻撃が増加しているため、セキュリティ専門家はサイバー防御能力を強化し、関連する脅威を修正する新しい方法を模索しています。貴社のチームをより良いツールで装備し、現在および新しい暗号通貨強奪の攻撃を検出するSigmaルールに瞬時にアクセスし、それらを27以上のSIEM、EDR、XDRソリューションに数秒で翻訳しましょう。これは Uncoder.IO によって、無料かつ登録なしで実行でき、日々のSOC業務の秒数を削減します。