Un grupo de operadores de amenazas en la nube, rastreados como 8220, actualizó su conjunto de herramientas de malware para piratear servidores Linux con el fin de instalar mineros de criptomonedas. “Las actualizaciones incluyen el despliegue de nuevas versiones de un minero de criptomonedas y un bot de IRC”, dijo Microsoft Security Intelligence en una serie de tuits realizados el jueves. el año pasado.”
8220 ha estado activo desde principios de 2017 y es una herramienta para minar la criptomoneda Monero en idioma chino. El nombre se debe a su preferencia por comunicarse con servidores de comando y control (C&C) sobre el puerto 8220. También es el “desarrollador” de una herramienta llamada whatMiner, que fue cooptada por el grupo ciberdelincuente Rocke.
En julio de 2019, el equipo de seguridad en la nube de Alibaba descubrió un cambio en las tácticas del grupo, notando el uso de rootkits (malware que funciona al interceptar las acciones del sistema operativo y alterar sus resultados) para ocultar el programa de minería. Dos años más tarde, la pandilla resurgió con variantes de la botnet Tsunami IRC y un minero personalizado “PwnRig”.
Ahora, según Microsoft, se ha observado que la última campaña que afectó a los sistemas Linux i686 y x86_64 armaba exploits de ejecución remota de código (RCE) para el recién lanzado Atlassian Confluence Server (CVE-2022-26134) y Oracle WebLogic. (CVE-2019-2725) para el acceso inicial.
A este paso le sigue la recuperación de un cargador de malware de un servidor remoto diseñado para eliminar el minero PwnRig y un bot de IRC, pero no antes de tomar medidas para evadir la detección borrando los archivos de registro y deshabilitando el monitoreo y el software de la nube. de seguridad
Además de lograr la persistencia a través de un trabajo cron, el “cargador usa la herramienta de escaneo de puertos IP ‘masscan’ para encontrar otros servidores SSH en la red y luego usa la herramienta de fuerza bruta SSH basada en GoLang ‘spirit’ para propagarse”, dijo Microsoft. .
Los hallazgos se producen después de que Akamai revelara que la falla de Atlassian Confluence está presenciando 20 000 intentos de explotación al día que se lanzan desde alrededor de 6000 direcciones IP, frente a un pico de 100 000 poco después de que se revelara la falla el 2 de junio. El 67 % de los ataques supuestamente se originó en los EE.
“A la cabeza, el comercio es el objetivo del 38% de los ataques, seguido por los sectores de servicios financieros y de alta tecnología, respectivamente”, dijo Chen Doytshman de Akamai la semana pasada. “Estas tres verticales principales representan más del 75 % de las actividades [hacen malware]. “Los ataques van desde sondeos de vulnerabilidad hasta determinar si el sistema de destino es susceptible a la inyección de malware, como shells web y criptomineros, señaló la empresa de seguridad en la nube.
“Lo que es particularmente preocupante es cuánto cambio ha visto este tipo de ataque en las últimas semanas”, agregó Doytshman. “Como hemos visto con vulnerabilidades similares, es probable que este CVE-2022-26134 continúe siendo explotado durante al menos los próximos dos años”.
Fuente: CisoAdvisor
