8220 Gang在最近的加密劫持攻击中使用了新的ScrubCrypt加密器
一名被追踪为8220 Gang的威胁演员被发现在加密劫持活动中使用一种名为ScrubCrypt的新加密器。
Fortinet研究人员观察到挖矿组织8220 Gang在加密劫持攻击中使用了一种名为ScrubCrypt的新型加密器。
“在2023年1月到2月之间,FortiGuard实验室观察到一个有效载荷针对特定URI中可利用的Oracle Weblogic Server。”分析中还称“此有效载荷提取 ScrubCrypt,它混淆和加密应用程序并使它们能够躲避安全程序。它已经有更新版本,卖家网页(图1)保证可以绕过Windows Defender,并提供反调试和部分绕过功能。”
该组织以利用公开披露的漏洞来破坏目标而闻名。
在1月和2月之间,专家们观察到来自163[.]123[.]142[.]210和185[.]17[.]0[.]19的攻击针对HTTP URI,“wls-wsat/CoordinatorPortType ”此 URI 属于Oracle Weblogic服务器。
在成功利用易受攻击的Oracle WebLogic服务器后,它将下载名为“bypass.ps1”的 PowerShell 脚本,其中包含ScrubCrypt加密器。
PowerShell脚本经过编码以避免被防病毒解决方案检测到。
ScrubCrypt加密器在黑客论坛上有售,它允许使用独特的BAT打包方法保护应用程序。
专家们注意到,顶部的加密数据可以用反斜杠“\”分成四部分。最后两部分是AES CBC解密的密钥和初始值。
攻击归因于8220 Gang还基于最近活动中使用的加密钱包地址和Monero矿工使用的服务器 IP 地址。
“加密钱包地址 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ和Monero矿工使用的服务器IP地址都曾被822帮派使用过。” 总结报告称“这就是为什么我们认为整个攻击是由这个威胁者发起的,尽管使用的端口号不再是 8220。”
“8220 Gang是一个著名的矿工组织,通常利用公共文件共享网站并针对系统漏洞渗透到受害者的环境中。在很短的时间内,它已经进化为使用更新的加密变体“ScrubCrypt”。
