Un grupo de actores de amenazas en la nube rastreado como 8220 actualizó su conjunto de herramientas de malware para violar los servidores Linux con el objetivo de instalar criptomineros como parte de una campaña de larga duración.
«Las actualizaciones incluyen el despliegue de nuevas versiones de un criptominero y un bot de IRC», Microsoft Security Intelligence dijo en una serie de tuits el jueves. «El grupo ha actualizado activamente sus técnicas y cargas útiles durante el último año».
8220, activo desde principios de 2017es un actor de amenazas de minería de Monero de habla china llamado así por su preferencia para comunicarse con servidores de comando y control (C2) a través del puerto 8220. También es el desarrollador de una herramienta llamada whatMiner, que ha sido cooptada por el grupo de ciberdelincuencia Rocke en sus ataques.
En julio de 2019, el equipo de seguridad en la nube de Alibaba descubierto un cambio adicional en las tácticas del adversario, destacando su uso de rootkits para ocultar el programa de minería. Dos años después, la pandilla resurgió con tsunami red de bots IRC variantes y un minero «PwnRig» personalizado.
Ahora, según Microsoft, se ha observado que la campaña más reciente que afecta a los sistemas Linux i686 y x86_64 convierte en armas los exploits de ejecución remota de código para el servidor Atlassian Confluence recientemente revelado (CVE-2022-26134) y Oracle WebLogic (CVE-2019-2725) para el acceso inicial. .
Este paso es seguido por la recuperación de un cargador de malware desde un servidor remoto que está diseñado para eliminar el minero PwnRig y un bot de IRC, pero no antes de tomar medidas para evadir la detección borrando los archivos de registro y deshabilitando el software de seguridad y monitoreo en la nube.
Además de lograr la persistencia por medio de un trabajo cron, el «cargador usa la herramienta de escaneo de puertos IP ‘masscan’ para encontrar otros servidores SSH en la red, y luego usa la herramienta de fuerza bruta SSH basada en GoLang ‘spirit’ para propagar», Microsoft dijo.
Los hallazgos llegan como Akamai reveló que la falla de Atlassian Confluence está experimentando 20 000 intentos de explotación constantes por día que se lanzan desde aproximadamente 6000 IP, por debajo de un pico de 100 000 inmediatamente después de la divulgación del error el 2 de junio de 2022. Se dice que el 67 % de los ataques tienen se originó en los EE. UU.
«A la cabeza, el comercio representa el 38 % de la actividad de ataque, seguido por la alta tecnología y los servicios financieros, respectivamente», dijo esta semana Chen Doytshman de Akamai. «Estas tres verticales principales representan más del 75% de la actividad».
Los ataques van desde sondeos de vulnerabilidad para determinar si el sistema de destino es susceptible a la inyección de malware, como web shells y criptomineros, señaló la empresa de seguridad en la nube.
«Lo que es particularmente preocupante es cuánto cambio hacia arriba ha obtenido este tipo de ataque en las últimas semanas», agregó Doytshman. «Como hemos visto con vulnerabilidades similares, es probable que este CVE-2022-26134 continúe siendo explotado durante al menos los próximos dos años».