Detecção do Ataque ScrubCrypt: Gangue 8220 Aplica Malware Inovador em Operações de Cryptojacking Explorando Servidores Oracle WebLogic
Índice:
Atores de ameaça rastreados como 8220 Gang foram observados aproveitando um novo crypter chamado ScrubCrypt, que tem como alvo os servidores Oracle WebLogic. Segundo pesquisadores de cibersegurança, a cadeia de infecção é desencadeada pela exploração bem-sucedida de servidores Oracle WebLogic comprometidos e leva à propagação do ScrubCrypt por meio do download de um script PowerShell.
Detectar Ataques ScrubCrypt que Têm como Alvo Servidores Oracle WebLogic
À vista dos volumes crescentes e da sofisticação das campanhas de cryptomining, as organizações procuram uma forma confiável de detectar ataques cibernéticos nos estágios mais iniciais de seu desenvolvimento. A última operação do 8820 Gang expõe servidores Oracle WebLogic para prosseguir com a infecção ScrubCrypt, representando uma ameaça crescente para defensores cibernéticos devido ao uso de múltiplas técnicas anti-análise e evasivas.
Para ajudar as organizações a detectar proativamente atividades maliciosas associadas a infecções ScrubCrypt, a Plataforma de Detecção como Código da SOC Prime oferece uma nova regra Sigma por nosso perspicaz desenvolvedor Threat Bounty Aytek Aytemur:
Comandos PowerShell Suspeitos para Executar DLL Maliciosa pelo Malware ScrubCrypt (via cmdline)
A regra acima detecta comandos PowerShell suspeitos usados para pausar o processador de comando, ignorar qualquer pressionamento de tecla e executar a DLL no decorrer de ataques de malware ScrubCrypt. A detecção está alinhada com o framework MITRE ATT&CK v12, abordando as táticas de Execução e Evasão de Defesa com Comando e Interpretador de Script (T1059) e Injeção de Processo (T1055) aplicadas como técnicas principais. A regra Sigma pode ser automaticamente traduzida para 22 soluções SIEM, EDR e XDR, reduzindo segundos na detecção de ameaças multiplataforma.
Esforçando-se para dominar seu conhecimento em Sigma e ATT&CK enquanto aprimora suas habilidades em engenharia de detecção? Animado para ganhar reconhecimento entre seus pares na indústria e codificar seu currículo para futuros empregadores? Junte-se ao nosso Programa de Recompensa por Ameaças para compartilhar suas regras Sigma com mais de 33 mil especialistas da comunidade global de defesa cibernética, fazer com que seu código seja verificado por especialistas no campo e ganhar benefícios financeiros enquanto torna o mundo um lugar mais seguro.
Para estar totalmente equipado com conteúdo de detecção contra amostras de malware de cryptomining, clique no Explorar Detecções botão e acesse a lista extensa de regras relevantes enriquecidas com referências CTI, ATT&CK e outros metadados operacionais acionáveis para promover uma investigação de ameaças mais eficiente.
Distribuição de Malware ScrubCrypt: Análise de Ataque de Cryptojacking
Pesquisadores do FortiGuard Labs têm monitorado de perto as operações em andamento de cryptojacking do 8220 Gang desde o início de 2023, nas quais atores de ameaça utilizam uma nova variante de malware chamada ScrubCrypt. ScrubCrypt é uma nova variante de malware aplicada para proteger aplicativos por meio de um método de empacotamento BAT personalizado.
Os atores da ameaça por trás desses ataques de cryptojacking pertencem a um infame coletivo de hackers mineradores de criptomoedas conhecido como 8220 Gang. Atores de ameaça aplicam um script PowerShell malicioso para explorar servidores Oracle WebLogic via um URI HTTP específico e lançar o ScrubCrypt nas instâncias comprometidas, levando à sua ofuscação. O malware se aproveita de técnicas de evasão de detecção, funções de criptografia sofisticadas e é capaz de contornar um conjunto de capacidades de análise antimalware, o que representa um desafio para defensores cibernéticos.
Operadores de malware ScrubCrypt estiveram em destaque na arena de ameaças cibernéticas desde 2017, primordialmente fazendo uso de sites públicos de compartilhamento de arquivos. O grupo recebeu seu apelido devido ao uso original da porta 8220 para comunicações de rede. A atividade do 8220 Gang tem como alvo principalmente usuários de redes em nuvem, incluindo clientes da AWS e Azure que executam aplicativos Linux não corrigidos; no entanto, nas últimas campanhas de cryptojacking, os atores da ameaça miram na proteção do Windows Defender. No meio do verão de 2022, o 8220 Gang, também conhecido como 8220 Mining Group, explorou uma nova iteração do botnet IRC, minerador de criptomoedas PwnRig, e tem experimentado com novos crypters desde o início de sua atividade maliciosa.
Devido ao número crescente de ataques alavancando mineradores de criptomoedas, os profissionais de segurança estão à procura de novas maneiras de aprimorar as capacidades de defesa cibernética e remediar as ameaças relacionadas. Equipe suas equipes com melhores ferramentas e acesse instantaneamente regras Sigma para detectar ataques de cryptojacking atuais e emergentes e traduzi-los em questão de segundos em mais de 27 soluções SIEM, EDR e XDR via Uncoder.IO — de graça e sem registro — reduzindo segundos das suas operações diárias de SOC.
