8220 Gang Behind ScrubCrypt Attack Targeting Oracle Weblogic Server
2023/03/09 InfoSecurity —8220 Gang と呼ばれる脅威アクターが、特定の Uniform Resource Identifier (URI) 内の悪用可能な Oracle Weblogic Server を標的とし、新たなペイロードを展開することが判明した。この、Fortinet のセキュリティ研究たちが分析したペイロードは、セキュリティ・プログラムによる検出の回避を特徴としている。そして、アプリケーションを難読化/暗号化するために設計されたマルウェアである、ScrubCrypt の抽出を目的としている。
3月8日 (水) のアドバイザリで、Fortinet の Senior Antivirus Analyst である Cara Lin は、「被害者のシステムに注入されたマルウェアを分析し、いくつかの指標を収集した、その結果として、この 2017年に初めて観測されたマイニング・グループを 8220 Gang と命名した。その理由は、同グループによるネットワーク通信で、ポート 8220 が使用されていたことに由来している」と述べている。
Lin によると、これまでに ScrubCrypt は、少なくとも1回はアップデートされているという。その開発者は、ScrubCrypt が Windows Defender をバイパスできることを保証し、アンチデバッグ機能の提供が可能だと約束しているという。
Lin は、「この2月を通じて複数の ScrubCrypt サンプルを収集したが、それぞれのペイロードは少しずつ異なっていた。Fortinet が観察した攻撃は、2023年1月〜2月の間に発生した」付け加えている。
また、これらの攻撃で使用された暗号ウォレットのアドレスと、Monero マイナーで使用されたサーバ IP アドレスは、いずれも過去の攻撃において、8220 Gang により使用されていたものだ。現在の攻撃に使用されるポート番号は 8220 ではないが、以前からの経緯を考えれば、すべての攻撃は 8220 Gang が行ったものと推定できると、Lin は述べている。
さらに Lin は、「8220 Gang の主な手口は、公開ファイル共有 Web サイトを活用し、システムの脆弱性を狙うことで、被害者の環境に侵入するというものだ。この、有名かつ有能なマイニング・グループは、検出の回避や暗号化などの機能を取り込んだ、新たな crypter 亜種へと進化しており、アンチ・ウイルスによる 8220 Gang の検出は難しくなっている。ユーザーは、この更新された crypter に注意し、システムにパッチを適用しておく必要がある」と警告している。
昨年には Microsoft も、この脅威アクターの活動を観測しており、同社は 2022年7月に 8220 Gang に関する警告を発表している。
Oracle 製品に関するインシデント情報は、さほど多くはありません。2022〜2023年で、このプログに掲載したものは、以下の通りとなります。よろしければ、Oracle で検索も、ご利用ください。
2023/02/03:Oracle E-Business Suite の PoC 悪用
2022/04/22:Oracle Java の PoC エクスプロイト
2022/03/17:Unix rootkit:Oracle Solaris に展開
IoT OT Security News 
You must be logged in to post a comment.