Un grupo de actores de amenazas en la nube rastreado como 8220 actualiz\u00f3 su conjunto de herramientas de malware para violar los servidores Linux con el objetivo de instalar criptomineros como parte de una campa\u00f1a de larga duraci\u00f3n.<\/p>\n
“Las actualizaciones incluyen el despliegue de nuevas versiones de un criptominero y un bot de IRC”, Microsoft Security Intelligence dijo<\/a> en una serie de tuits el jueves. “El grupo ha actualizado activamente sus t\u00e9cnicas y cargas \u00fatiles durante el \u00faltimo a\u00f1o”.<\/p>\n 8220, activo desde principios de 2017<\/a>es un actor de amenazas de miner\u00eda de Monero de habla china llamado as\u00ed por su preferencia para comunicarse con servidores de comando y control (C2) a trav\u00e9s del puerto 8220. Tambi\u00e9n es el desarrollador de una herramienta llamada whatMiner, que ha sido cooptada por el grupo de ciberdelincuencia Rocke en sus ataques.<\/p>\n En julio de 2019, el equipo de seguridad en la nube de Alibaba descubierto<\/a> un cambio adicional en las t\u00e1cticas del adversario, destacando su uso de rootkits para ocultar el programa de miner\u00eda. Dos a\u00f1os despu\u00e9s, la pandilla resurgi\u00f3<\/a> con tsunami red de bots IRC<\/a> variantes y un minero “PwnRig” personalizado.<\/p>\n Ahora, seg\u00fan Microsoft, se ha observado que la campa\u00f1a m\u00e1s reciente que afecta a los sistemas Linux i686 y x86_64 convierte en armas los exploits de ejecuci\u00f3n remota de c\u00f3digo para el servidor Atlassian Confluence recientemente revelado (CVE-2022-26134) y Oracle WebLogic (CVE-2019-2725) para el acceso inicial. .<\/p>\n Este paso es seguido por la recuperaci\u00f3n de un cargador de malware desde un servidor remoto que est\u00e1 dise\u00f1ado para eliminar el minero PwnRig y un bot de IRC, pero no antes de tomar medidas para evadir la detecci\u00f3n borrando los archivos de registro y deshabilitando el software de seguridad y monitoreo en la nube.<\/p>\n Adem\u00e1s de lograr la persistencia por medio de un trabajo cron, el “cargador usa la herramienta de escaneo de puertos IP ‘masscan’ para encontrar otros servidores SSH en la red, y luego usa la herramienta de fuerza bruta SSH basada en GoLang ‘spirit’ para propagar”, Microsoft dijo.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n