ScrubCrypt — это шифровальщик, используемый для обхода средств защиты с помощью уникального метода упаковки BAT.
Исследователи безопасности из Fortinet FortiGuard Labs обнаружили , что группа криптомайнеров 8220 Gang доставляет на системы новый шифровальщик ScrubCrypt, а затем осуществляет криптоджекинг. Цепочка атак начинается с эксплуатации уязвимых серверов Oracle WebLogic для загрузки PowerShell-сценария, содержащего ScrubCrypt.
https://www.securitylab.ru/upload/me...h01jmlcnet.png
ScrubCrypt продаётся на киберпреступном форуме
Криптор ScrubCrypt поставляется с функциями обхода защиты Защитника Windows, а также проверки наличия среды отладки и виртуальной машины. ScrubCrypt — это шифровальщик, используемый для защиты приложений с помощью уникального метода упаковки BAT.
https://www.securitylab.ru/upload/me...nj4jp66zad.png
Цепочка атаки 8220 Gang
ScrubCrypt на финальном этапе декодирует и загружает в память полезную нагрузку майнера, а затем запускает процесс майнинга.
Специалисты называют участников 8220 низкоквалифицированными финансово мотивированными хакерами , которые проникают на хосты AWS, Azure, GCP, Alitun и QCloud, используя уязвимости в Docker, Redis, Confluence и Apache. Кроме того, у группировки есть собственный криптомайнер под названием PwnRig, основанный на майнере XMRig. PwnRig использует поддельный поддомен ФБР с IP-адресом, указывающим на государственный ресурс Бразилии.