Ngày 09 tháng 3 năm 2023Ravie Lakshmanan Tấn công tiền điện tử / Phát hiện mối đe dọa,
Nhóm khai thác tiền điện tử khét tiếng có tên 8220 Gang đã được quan sát sử dụng một loại tiền điện tử mới có tên ScrubCrypt để thực hiện các hoạt động khai thác tiền điện tử.
Theo Fortinet FortiGuard Labs, chuỗi tấn công bắt đầu bằng việc khai thác thành công các máy chủ Oracle WebLogic nhạy cảm để tải xuống tập lệnh PowerShell có chứa ScrubCrypt.
Crypters là một loại phần mềm có thể mã hóa, làm xáo trộn và thao túng phần mềm độc hại với mục tiêu trốn tránh sự phát hiện của các chương trình bảo mật.
ScrubCrypt, được tác giả của nó rao bán, đi kèm với các tính năng để vượt qua các biện pháp bảo vệ của Bộ bảo vệ Windows cũng như kiểm tra sự hiện diện của môi trường gỡ lỗi và máy ảo.
Nhà nghiên cứu bảo mật Cara Lin cho biết trong một báo cáo kỹ thuật: “ScrubCrypt là một công cụ mã hóa được sử dụng để bảo mật các ứng dụng bằng phương pháp đóng gói BAT độc đáo. “Dữ liệu được mã hóa ở trên cùng có thể được chia thành bốn phần bằng dấu gạch chéo ngược ‘\.'”
Ở giai đoạn cuối, người giải mã sẽ giải mã và tải trọng tải của người khai thác vào bộ nhớ, từ đó khởi chạy quy trình khai thác.
Tác nhân đe dọa có thành tích lợi dụng các lỗ hổng được tiết lộ công khai để xâm nhập vào các mục tiêu và những phát hiện mới nhất cũng không khác.
Sự phát triển cũng diễn ra khi các cuộc tấn công chi tiết của Sydig do Băng đảng 8220 thực hiện trong khoảng thời gian từ tháng 11 năm 2022 đến tháng 1 năm 2023 nhằm mục đích vi phạm các máy chủ web Oracle WebLogic và Apache dễ bị tổn thương để loại bỏ công cụ khai thác XMRig.
Vào cuối tháng 1 năm 2023, Fortinet cũng đã phát hiện ra các cuộc tấn công mã hóa sử dụng các tài liệu Microsoft Excel có chứa macro VBA độc hại được định cấu hình để tải xuống tệp thực thi nhằm khai thác monero (XMR) trên các hệ thống bị nhiễm.
