Um grupo de operadores de ameaças na nuvem, rastreados como 8220, atualizou seu conjunto de ferramentas de malware para hackear servidores Linux com o objetivo de instalar mineradores de criptomoedas. “As atualizações incluem a implantação de novas versões de um minerador de criptomoedas e um bot de IRC”, disse a Microsoft Security Intelligence em uma série de tweets feitos na quinta-feira. ano passado.”
O 8220 está ativo desde o início de 2017 e é uma ferramenta para minerar a criptomoeda Monero em chinês. O nome se deve à sua preferência por se comunicar com servidores de comando e controle (C&C) sobre a porta 8220. É também o “desenvolvedor” de uma ferramenta chamada whatMiner, que foi cooptada pelo grupo de cibercriminosos Rocke.
Em julho de 2019, o Alibaba Cloud Security Team descobriu uma mudança nas táticas do grupo, observando o uso de rootkits (malwares que funcionam interceptando ações do sistema operacional e alterando seus resultados) para ocultar o programa de mineração. Dois anos depois, a gangue ressurgiu com variantes do botnet Tsunami IRC e um minerador personalizado “PwnRig”.
Agora, de acordo com a Microsoft, a última campanha que atingiu os sistemas Linux i686 e x86_64 foi observada armando explorações de execução remota de código (RCE) para o recém-lançado Atlassian Confluence Server (CVE-2022-26134) e Oracle WebLogic. (CVE-2019-2725) para acesso inicial.
Esta etapa é seguida pela recuperação de um carregador de malware de um servidor remoto projetado para descartar o minerador PwnRig e um bot de IRC, mas não antes de tomar medidas para evitar a detecção apagando arquivos de log e desativando o monitoramento e o software na nuvem. de segurança.
Além de alcançar a persistência por meio de um cron job, o “loader usa a ferramenta de varredura de porta IP ‘masscan’ para encontrar outros servidores SSH na rede e, em seguida, usa a ferramenta de força bruta SSH baseada em GoLang ‘spirit’ para propagar”, disse a Microsoft. .
As descobertas vêm depois que a Akamai revelou que a falha do Atlassian Confluence está testemunhando 20.000 tentativas de exploração por dia que são lançadas de cerca de 6.000 endereços IP, abaixo de um pico de 100.000 logo após a divulgação do bug em 2 de junho. Sessenta e sete por cento dos ataques supostamente originado nos EUA.
“Na liderança, o comércio é o alvo de 38% dos ataques, seguido pelos setores de alta tecnologia e serviços financeiros, respectivamente”, disse Chen Doytshman, da Akamai, na semana passada. “Essas três verticais principais representam mais de 75% das atividades [do malware]. “Os ataques vão desde sondagens de vulnerabilidade até determinar se o sistema alvo é suscetível à injeção de malware, como web shells e mineradores de criptografia, observou a empresa de segurança em nuvem.
“O que é particularmente preocupante é quanta mudança esse tipo de ataque viu nas últimas semanas”, acrescentou Doytshman. “Como vimos com vulnerabilidades semelhantes, este CVE-2022-26134 provavelmente continuará a ser explorado pelo menos nos próximos dois anos.”
Fonte: CisoAdvisor
