Oracle WebLogic’i Hedef Alan Cryptojacking Saldırılarında Yeni ScrubCrypt Crypter Kullanıldı

09 Mart 2023Ravie LakshmananCryptojacking / Tehdit Tespiti,

8220 Gang adlı kötü şöhretli kripto para madencisi grubunun, cryptojacking operasyonlarını gerçekleştirmek için ScrubCrypt adlı yeni bir şifreleyici kullandığı gözlemlendi.

Fortinet FortiGuard Labs’a göre saldırı zinciri, ScrubCrypt içeren bir PowerShell komut dosyası indirmek için savunmasız Oracle WebLogic sunucularının başarılı bir şekilde kullanılmasıyla başlar.

Şifreleyiciler, güvenlik programları tarafından tespit edilmekten kaçınmak amacıyla kötü amaçlı yazılımları şifreleyebilen, gizleyebilen ve manipüle edebilen bir yazılım türüdür.

Yazarı tarafından satışa sunulan ScrubCrypt, Windows Defender korumalarını atlamanın yanı sıra hata ayıklama ve sanal makine ortamlarının varlığını kontrol eden özelliklerle birlikte gelir.

Güvenlik araştırmacısı Cara Lin teknik bir raporda “ScrubCrypt, uygulamaları benzersiz bir BAT paketleme yöntemiyle güvenceye almak için kullanılan bir şifreleyicidir” dedi. “Üstteki şifrelenmiş veriler ters eğik çizgi ‘\’ kullanılarak dört parçaya bölünebilir.”

Son aşamada kriptolayıcı, madenci yükünün kodunu çözer ve belleğe yükler, böylece madenci sürecini başlatır.

Tehdit aktörü, hedeflere sızmak için kamuya açıklanan güvenlik açıklarından yararlanma konusunda bir geçmişe sahiptir ve en son bulgular da farklı değildir.

Geliştirme ayrıca, 8220 Çetesi tarafından Kasım 2022 ile Ocak 2023 arasında düzenlenen ve savunmasız Oracle WebLogic ve Apache web sunucularını ihlal ederek XMRig madencisini düşürmeyi amaçlayan ayrıntılı Sydig saldırıları olarak geliyor.

Ocak 2023’ün sonlarında Fortinet, virüs bulaşmış sistemlerde Monero (XMR) madenciliği yapmak için yürütülebilir bir dosya indirmek üzere yapılandırılmış kötü amaçlı VBA makroları içeren Microsoft Excel belgelerinden yararlanan cryptojacking saldırılarını da ortaya çıkardı.