8220 olarak izlenen bir bulut tehdidi aktör grubu, uzun süredir devam eden bir kampanyanın parçası olarak kripto madencileri kurmak amacıyla Linux sunucularını ihlal etmek için kötü amaçlı yazılım araç setini güncelledi.
Microsoft Security Intelligence, “Güncellemeler, bir kripto madencisinin ve bir IRC botunun yeni sürümlerinin dağıtımını içeriyor.” söz konusu Perşembe günü bir dizi tweet’te. “Grup, geçen yıl boyunca tekniklerini ve yüklerini aktif olarak güncelledi.”
8220, o zamandan beri aktif 2017 başı. Rocke siber suç grubu saldırılarında.
Temmuz 2019’da Alibaba Bulut Güvenlik Ekibi açık madencilik programını gizlemek için kök kullanıcı takımları kullanımına dikkat çekerek, düşmanın taktiklerinde fazladan bir değişiklik. İki yıl sonra çete yeniden ortaya çıktı Tsunami ile IRC botnet’i varyantlar ve özel bir “PwnRig” madenci.
Şimdi Microsoft’a göre, i686 ve x86_64 Linux sistemlerini etkileyen en son kampanyanın, ilk erişim için yeni açıklanan Atlassian Confluence Server (CVE-2022-26134) ve Oracle WebLogic (CVE-2019-2725) için uzaktan kod yürütme açıklarını silahlandırdığı gözlemlendi. .
Bu adım, PwnRig madencisini ve bir IRC botunu düşürmek için tasarlanmış uzak bir sunucudan bir kötü amaçlı yazılım yükleyicinin alınmasıyla başarılır, ancak bu, günlük dosyalarını silerek ve bulut izleme ve güvenlik yazılımını devre dışı bırakarak algılamadan kaçmak için adımlar atmadan önce değil.
Bir cron işi aracılığıyla kalıcılık sağlamanın yanı sıra, “yükleyici ağdaki diğer SSH sunucularını bulmak için IP bağlantı noktası tarayıcı aracını ‘masscan’ kullanır ve ardından yaymak için GoLang tabanlı SSH kaba kuvvet aracı ‘ruhunu’ kullanır,” Microsoft söz konusu.
Bulgular Akamai olarak geliyor meydana çıkarmak Atlassian Confluence kusurunun, 2 Haziran 2022’deki hata açıklamasının hemen ardından 100.000’lik bir zirveden, yaklaşık 6.000 IP’den başlatılan günde sabit 20.000 istismar girişimine tanık olduğunu. ABD kaynaklı
Akamai’den Chen Doytshman bu hafta yaptığı açıklamada, “İlk sırada, ticaret saldırı faaliyetinin %38’ini oluşturuyor, ardından sırasıyla yüksek teknoloji ve finansal hizmetler geliyor” dedi. “Bu ilk üç dikey, faaliyetin %75’inden fazlasını oluşturuyor.”
Bulut güvenlik şirketi, saldırıların, hedef sistemin web kabukları ve kripto madencileri gibi kötü amaçlı yazılımların enjeksiyonuna duyarlı olup olmadığını belirlemek için güvenlik açığı araştırmalarından değiştiğini belirtti.
Doytshman, “Özellikle endişe verici olan, bu saldırı türünün son birkaç hafta içinde ne kadar yukarı doğru bir kayma elde ettiğidir.” “Benzer güvenlik açıklarında gördüğümüz gibi, bu CVE-2022-26134 muhtemelen en azından önümüzdeki birkaç yıl boyunca kullanılmaya devam edecek.”