8220 Gang adlı kötü şöhretli kripto para madenciliği grubunun, cryptojacking operasyonlarını gerçekleştirmek için ScrubCrypt adlı yeni bir şifreleyici kullandığı gözlemlendi.
Fortinet FortiGuard Labs’a göre saldırı zinciri, ScrubCrypt içeren bir PowerShell betiğini indirmek için savunmasız Oracle WebLogic sunucularının başarıyla kullanılmasıyla başlıyor.
Şifreleyiciler, güvenlik programları tarafından tespit edilmekten kaçınmak amacıyla kötü amaçlı yazılımları şifreleyebilen, gizleyebilen ve manipüle edebilen bir yazılım türüdür.
Yazarı tarafından satışa sunulan ScrubCrypt, Windows Defender korumalarını atlamanın yanı sıra hata ayıklama ve sanal makine ortamlarının varlığını kontrol eden özelliklerle birlikte gelir.
Güvenlik araştırmacısı Cara Lin, “ScrubCrypt, uygulamaları benzersiz bir BAT paketleme yöntemiyle güvence altına almak için kullanılan bir şifreleyicidir.” söz konusu teknik bir raporda. “Üstteki şifrelenmiş veriler ters eğik çizgi ” kullanılarak dört parçaya bölünebilir.”
Son aşamada kriptolayıcı, madenci yükünün kodunu çözer ve belleğe yükler, böylece madenci sürecini başlatır.
Tehdit aktörü, hedeflere sızmak için kamuya açıklanan güvenlik açıklarından yararlanma konusunda bir geçmişe sahiptir ve en son bulgular da farklı değildir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Geliştirme ayrıca Sydig olarak geliyor detaylı 8220 Çetesi tarafından Kasım 2022 ile Ocak 2023 arasında düzenlenen ve savunmasız Oracle WebLogic ve Apache web sunucularını ihlal ederek XMRig madencisini düşürmeyi amaçlayan saldırılar.
Ocak 2023’ün sonlarında Fortinet ayrıca Cryptojacking saldırıları virüslü sistemlerde Monero (XMR) madenciliği yapmak için yürütülebilir bir dosya indirmek üzere yapılandırılmış kötü amaçlı VBA makroları içeren Microsoft Excel belgelerinden yararlanan.