ScrubCrypt 공격 탐지: 8220 갱, 오라클 WebLogic 서버를 악용한 크립토재킹 작업에 새로운 멀웨어 적용

위협 행위자들로 추적된 8220 갱 이 새로운 암호화기인 ScrubCrypt를 활용한 것으로 관찰되었습니다. 이는 Oracle WebLogic 서버를 대상으로 합니다. 사이버 보안 연구원에 따르면, 감염 체인은 침해된 Oracle WebLogic 서버의 성공적인 악용으로 촉발되며 PowerShell 스크립트를 다운로드하여 ScrubCrypt를 확산시키는 결과를 초래합니다.

Oracle Weblogic 서버를 대상으로 하는 ScrubCrypt 공격 탐지

암호화폐 채굴 캠페인의 지속적인 증가와 복잡성을 고려하여, 조직들은 초기 단계에서 사이버 공격을 탐지할 수 있는 신뢰할 수 있는 방법을 찾고 있습니다. 최신 8820 갱 운영은 Oracle WebLogic 서버를 노출시켜 ScrubCrypt 감염을 진행하며, 다중 분석 방지 및 회피 기술의 사용으로 인해 사이버 방어자에게 점점 더 큰 위협을 가하고 있습니다.

조직이 ScrubCrypt 감염과 관련된 악의적인 활동을 선제적으로 탐지할 수 있도록 돕기 위해, SOC Prime의 Detection as Code 플랫폼은 우리의 민감한 Threat Bounty 개발자인 Aytek Aytemur: 

ScrubCrypt 악성코드에 의한 악성 DLL을 실행하기 위한 의심스러운 PowerShell 명령어 (cmdline 통해)

위의 규칙은 ScrubCrypt 악성코드 공격 과정에서 명령 프로세서를 일시 정지하고 아무 키도 무시하며 DLL을 실행하는 데 사용되는 의심스러운 PowerShell 명령을 탐지합니다. 탐지는 MITRE ATT&CK 프레임워크 v12와 정렬되어 있으며, 실행 및 방어 회피 전술을 해결하며 주요 기술로 명령 및 스크립팅 인터프리터(T1059)와 프로세스 인젝션(T1055)이 적용됩니다. Sigma 규칙은 22개의 SIEM, EDR, XDR 솔루션으로 자동 변환될 수 있으며, 크로스 플랫폼 위협 탐지를 몇 초 만에 단축시킵니다.

Sigma와 ATT&CK 지식을 마스터하면서 탐지 엔지니어링 스킬을 연마하고 싶습니까? 업계 동료들 사이에서 인정을 얻고 미래 고용주에게 나의 이력서를 코딩하고 싶습니까? 우리 Threat Bounty 프로그램 에 참여하여 전 세계 사이버 방어 커뮤니티의 33K+ 전문가와 Sigma 규칙을 공유하고, 해당 분야의 전문가에게 코드를 검증받으며, 세상을 더 안전한 곳으로 만드는 동안 금전적 이익을 얻으세요. 

암호화폐 채굴 악성코드 샘플에 대한 탐지 콘텐츠를 완벽히 갖추려면 탐지 항목 탐색 버튼을 클릭하고 CTI, ATT&CK 참조 및 기타 실행 가능한 운영 메타데이터로 풍부해진 관련 규칙의 광범위한 목록에 액세스하여 간소화된 위협 조사에 기여하세요.

탐지 항목 탐색

ScrubCrypt 악성코드 분포: 크립토재킹 공격 분석

FortiGuard Labs 연구원들은 2023년 초부터 8220 갱의 지속적인 크립토재킹 작전을 주의 깊게 살펴보고 있으며, 이때 위협 행위자들은 ScrubCrypt라는 새로운 악성코드 변종을 활용합니다. ScrubCrypt는 맞춤형 BAT 패킹 방법을 통해 애플리케이션을 보호하는 새로운 악성코드 변종입니다. 

이 크립토재킹 공격의 배후에 있는 위협 행위자들은 8220 갱으로 알려진 악명 높은 암호화폐 마이너 해킹 집단에 속합니다. 위협 행위자들은 특정 HTTP URI를 통해 Oracle WebLogic 서버를 악용하고, 침해된 인스턴스에 ScrubCrypt를 드롭하여 난독화를 초래하는 악의적인 PowerShell 스크립트를 적용합니다. 이 악성코드는 탐지 회피 기술, 정교한 암호화 기능을 활용하며 일련의 안티-멜웨어 분석 기능을 우회할 수 있어 사이버 방어자에게 도전 과제를 제기합니다.

ScrubCrypt 악성코드 운영자는 2017년 이래로 사이버 위협 무대에서 주목받아 왔으며, 주로 공개 파일 공유 웹사이트를 사용해 왔습니다. 이 그룹은 네트워크 통신에 포트 8220을 원래 사용함으로 인해 그 이름을 얻게 되었습니다. 8220 갱의 활동은 주로 AWS 및 Azure 고객을 포함하여 패치되지 않은 Linux 애플리케이션을 운영하는 클라우드 네트워크 사용자를 목표로 하지만, 최신 크립토재킹 캠페인에서는 위협 행위자들이 Windows Defender 보호에 시선을 돌렸습니다. 2022년 여름 중반에 8220 갱, 일명 8220 마이닝 그룹은 새로운 IRC 봇넷의 반복을 악용했으며, PwnRig 암호화폐 마이너를 악용했으며, 악성 활동을 시작한 이후 새로운 암호화기를 실험해왔습니다.

암호화폐 마이너를 활용한 공격의 증가 추세로 인해 보안 전문가들은 사이버 방어 능력을 향상시키고 관련 위협을 경감시킬 새로운 방법을 찾고 있습니다. Sigma 규칙을 즉시 접근할 수 있도록 팀을 갖추고 현재 및 신흥 크립토재킹 공격을 탐지하여 이를 27개 이상의 SIEM, EDR, XDR 솔루션으로 몇 초 만에 번역하십시오. Uncoder.IO — 무료 및 등록 없이 — 일일 SOC 작업에서 몇 초를 줄일 수 있습니다.