Oracle WebLogic’i Hedef Alan Cryptojacking Saldırılarında Yeni ScrubCrypt Crypter Kullanıldı


09 Mart 2023Ravie LakshmananCryptojacking / Tehdit Tespiti,

ScrubCrypt Şifresi

8220 Gang adlı kötü şöhretli kripto para madencisi grubunun, cryptojacking operasyonlarını gerçekleştirmek için ScrubCrypt adlı yeni bir şifreleyici kullandığı gözlemlendi.

Fortinet FortiGuard Labs’a göre saldırı zinciri, ScrubCrypt içeren bir PowerShell komut dosyası indirmek için savunmasız Oracle WebLogic sunucularının başarılı bir şekilde kullanılmasıyla başlar.

Şifreleyiciler, güvenlik programları tarafından tespit edilmekten kaçınmak amacıyla kötü amaçlı yazılımları şifreleyebilen, gizleyebilen ve manipüle edebilen bir yazılım türüdür.

Yazarı tarafından satışa sunulan ScrubCrypt, Windows Defender korumalarını atlamanın yanı sıra hata ayıklama ve sanal makine ortamlarının varlığını kontrol eden özelliklerle birlikte gelir.

Güvenlik araştırmacısı Cara Lin teknik bir raporda “ScrubCrypt, uygulamaları benzersiz bir BAT paketleme yöntemiyle güvenceye almak için kullanılan bir şifreleyicidir” dedi. “Üstteki şifrelenmiş veriler ters eğik çizgi ‘\’ kullanılarak dört parçaya bölünebilir.”

ScrubCrypt Şifresi

Son aşamada kriptolayıcı, madenci yükünün kodunu çözer ve belleğe yükler, böylece madenci sürecini başlatır.

Tehdit aktörü, hedeflere sızmak için kamuya açıklanan güvenlik açıklarından yararlanma konusunda bir geçmişe sahiptir ve en son bulgular da farklı değildir.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Geliştirme ayrıca, 8220 Çetesi tarafından Kasım 2022 ile Ocak 2023 arasında düzenlenen ve savunmasız Oracle WebLogic ve Apache web sunucularını ihlal ederek XMRig madencisini düşürmeyi amaçlayan ayrıntılı Sydig saldırıları olarak geliyor.

Ocak 2023’ün sonlarında Fortinet, virüs bulaşmış sistemlerde Monero (XMR) madenciliği yapmak için yürütülebilir bir dosya indirmek üzere yapılandırılmış kötü amaçlı VBA makroları içeren Microsoft Excel belgelerinden yararlanan cryptojacking saldırılarını da ortaya çıkardı.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link