• Партнер

  • Аналитики Microsoft сообщили, что хак-группа, известная под именем 8220, обновила свой вредоносный арсенал, направленный на взлом Linux-серверов. Злоумышленники используют свежий баг в Atlassian Confluence и старую уязвимость в Oracle WebLogic для установки криптовалютных майнеров.

    «Среди обновлений: развертывание новых версий криптоваютного майнера и IRC-бота, — пишут эксперты Microsoft Security Intelligence. — Группа активно совершенствовала свои инструменты и полезные нагрузки весь последний год».

    Считается, что хак-группа 8220 активна с начала 2017 года и связана с Китаем. В основном эти хакеры занимаются майнингом Monero, а свое название группировка получила из-за того, что ее малварь предпочитает связываться с управляющими серверами через порт 8220.

    В июле 2019 года команда Alibaba Cloud Security обнаружила изменения в тактике злоумышленников, отметив, что группа стала использовать руткиты для сокрытия своих майнеров. Спустя еще два года, 8220 снова вернулась в строй с ботнетом Tsunami IRC и кастомным майнером PwnRig.

    Как теперь пишут специалисты Microsoft, новейшая кампания хакеров направлена против Linux-систем (i686 и x86_64), и в ее рамках применяются эксплоиты для удаленного выполнения кода. В частности, хакеры используют для получения первоначального доступа недавно раскрытый баг в Atlassian Confluence (CVE-2022-26134), а также старую уязвимость в Oracle WebLogic (CVE-2019-2725).

    После проникновения на сервер, происходит скачивание загрузчика малвари (майнера PwnRig и IRC-бота) с удаленного сервера, однако перед этим предпринимаются шаги, направленные на избежание обнаружения: стирание файлов журналов, а также отключение ПО, отвечающего за мониторинг и безопасность в облаке.

    Чтобы закрепиться в системе группировка использует задания cron. Также исследователи отмечают, что загрузчик группы использует сканер IP-портов masscan для поиска других SSH-серверов в сети, а затем брутфорсит SSH при помощи инструмента spirit, написанного на Go, что позволяет малвари распространяться дальше в случае удачи.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии