กลุ่มผู้โจมตีที่มีเป้าหมายสำหรับการขุดเหรียญคริปโตเคอเรนซีชื่อ "8220 Gang" ใช้มัลแวร์ crypter สำหรับการโจมตีตัวใหม่ชื่อ ScrubCrypt เพื่อใช้ในการโจมตีแบบ Cryptojacking
ตามรายงานของ Fortinet FortiGuard Labs กระบวนการโจมตีเริ่มต้นด้วยการใช้ช่องโหว่ของ Oracle WebLogic server เพื่อดาวน์โหลดสคลิปต์ PowerShell ที่มี ScrubCrypt อยู่ภายใน
Crypters เป็นประเภทซอฟต์แวร์ที่สามารถเข้ารหัส, ปกปิดการทำงานของมัลแวร์, และปรับเปลี่ยนมัลแวร์ เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมทางด้าน security
ScrubCrypt ถูกโฆษณาขายจากผู้เขียนโปรแกรมเอง พร้อมกับคุณสมบัติในการทำให้สามารถ bypass การป้องกันของ Windows Defender รวมถึงยังสามารถตรวจสอบการเปิดใช้งาน Debugging และ Virtual Machine Environment บนระบบได้
โดยในขั้นตอนสุดท้าย crypter จะทำการดาวน์โหลด Payload เข้าสู่หน่วยความจำ เพื่อเริ่มกระบวนการขุดเหรียญคริปโตเคอเรนซี
กลุ่มผู้โจมตีเคยมีประวัติการใช้ช่องโหว่ที่ถูกเปิดเผยออกมาสู่สาธารณะในการโจมตีเพื่อให้สามารถเข้าถึงเป้าหมายได้ และการค้นพบข้อมูลล่าสุดนี้ก็เป็นไปในลักษณะเดียวกัน
การโจมตีนี้เกิดขึ้นพร้อมกับรายงานจาก Sydig ที่เกี่ยวข้องกับการโจมตีที่ดำเนินการโดยกลุ่ม "8220 Gang" ระหว่างเดือนพฤศจิกายน 2022 ถึง มกราคม 2023 ที่มุ่งเป้าไปที่ระบบ Oracle WebLogic และ Apache web servers เพื่อติดตั้ง XMRig miner ลงในเครื่องเป้าหมาย
Fortinet เคยเปิดเผยรายงานเกี่ยวกับการโจมตีแบบ cryptojacking ในปลายเดือนมกราคม 2023 ที่พบการใช้ไฟล์ Microsoft Excel ที่มี VBA macros ที่เป็นอันตราย และกำหนดค่าให้ดาวน์โหลดไฟล์ .exe เพื่อทำการขุดเหรียญ Monero(XMR) บนระบบที่ถูกโจมตี
ที่มา : thehackernews
You must be logged in to post a comment.