Специалисты SentinelOne обнаружили майнинговый ботнет, который насчитывает около 30 000 зараженных хостов по всему миру. Исследователи говорят, что ботнет принадлежит группировке 8220, активной с 2017 года.
Эксперты пишут, что группа 8220 —это «одна из многих низкоквалифицированных преступных групп», за которыми они наблюдают постоянно. Как правило, эти хакеры заражают облачные хосты с помощью известных уязвимостей, а также векторов заражения, связанных с удаленным доступом.
Интересно, что еще в конце 2021 года этот ботнет насчитывал лишь около 2000 хостов. Столь быстрый рост специалисты объясняют активными атаками на Linux-серверы, о которых недавно предупреждали аналитики Microsoft, а также эксплуатацией багов в облачных приложениях и взломом защищенных установок Docker, Apache WebLogic и Redis.
Напомню, что, по данным Microsoft, новейшая кампания хакеров направлена против Linux-систем (i686 и x86_64), и в ее рамках применяются эксплоиты для удаленного выполнения кода. В частности, хакеры используют для получения первоначального доступа недавно раскрытый баг в Atlassian Confluence (CVE-2022-26134), а также старую уязвимость в Oracle WebLogic (CVE-2019-2725).
Помимо кастомного майнера PwnRig, основанного на известном XMRig, который используют преступники, атакующий скрипт группы также предназначен для удаления защитных инструментов и брутфорса SSH (с использованием списка из 450 жестко закодированных учетных данных) для дальнейшего бокового перемещения по сети.
Более того, новые версии скрипта имеют черные списки, которые помогают малвари избегать компрометации определенных хостов, включая серверы-приманки исследователей.
Также отмечается, что сам PwnRig тоже недавно был обновлен и теперь использует домен, подделывающийся под ФБР, а IP-адрес указывает на законный домен федерального правительства Бразилии. Все это сделано ради сокрытия мошеннических запросов к майнинговому пулу, чтобы было неясно, куда уходят «заработанные» хакерами деньги.