Một nhóm tác nhân đe dọa đám mây được theo dõi là 8220 đã cập nhật bộ công cụ phần mềm độc hại của mình để xâm phạm các máy chủ Linux với mục tiêu cài đặt các công cụ khai thác tiền điện tử như một phần của chiến dịch dài hạn.
“Các bản cập nhật bao gồm việc triển khai các phiên bản mới của một công cụ khai thác tiền điện tử và một bot IRC”, Microsoft Security Intelligence cho biết trong một loạt các tweet vào thứ Năm. “Nhóm đã tích cực cập nhật các kỹ thuật và tải trọng của mình trong năm qua.”
8220, hoạt động từ đầu năm 2017, là một kẻ đe dọa khai thác mỏ Monero, nói tiếng Trung Quốc, được đặt tên vì sở thích giao tiếp với các máy chủ điều khiển và kiểm soát (C2) qua cổng 8220. Nó cũng là nhà phát triển của một công cụ có tên là whatMiner, đã được nhóm tội phạm mạng Rocke hợp tác trong các cuộc tấn công của họ.
Vào tháng 7 năm 2019, Nhóm bảo mật đám mây của Alibaba đã phát hiện ra một sự thay đổi bổ sung trong chiến thuật của đối thủ, lưu ý việc sử dụng rootkit để che giấu chương trình khai thác. Hai năm sau, băng nhóm này nổi lên với các biến thể botnet Tsunami IRC và một công cụ khai thác “PwnRig” tùy chỉnh.
Theo Microsoft, chiến dịch gần đây nhất tấn công các hệ thống Linux i686 và x86_64 đã được quan sát thấy vũ khí hóa các hoạt động khai thác thực thi mã từ xa cho Atlassian Confluence Server (CVE-2022-26134) và Oracle WebLogic (CVE-2019-2725) để truy cập ban đầu .
Bước này thành công nhờ việc truy xuất trình tải phần mềm độc hại từ máy chủ từ xa được thiết kế để thả công cụ khai thác PwnRig và bot IRC, nhưng không phải trước khi thực hiện các bước để tránh bị phát hiện bằng cách xóa tệp nhật ký và tắt phần mềm bảo mật và giám sát đám mây.
Bên cạnh việc đạt được sự bền bỉ bằng công việc cron, “trình tải sử dụng công cụ quét cổng IP ‘masscan' để tìm các máy chủ SSH khác trong mạng và sau đó sử dụng ‘tinh thần' công cụ bạo lực SSH dựa trên GoLang để tuyên truyền”, Microsoft nói.
Phát hiện được đưa ra khi Akamai tiết lộ rằng lỗ hổng Atlassian Confluence đang chứng kiến 20.000 nỗ lực khai thác ổn định mỗi ngày được khởi chạy từ khoảng 6.000 IP, giảm từ mức cao nhất 100.000 ngay sau vụ tiết lộ lỗi vào ngày 2 tháng 6 năm 2022. 67% các cuộc tấn công được cho là bắt nguồn từ Mỹ
Chen Doytshman của Akamai cho biết trong tuần này: “Dẫn đầu, thương mại chiếm 38% hoạt động tấn công, tiếp theo là các dịch vụ tài chính và công nghệ cao”. “Ba ngành dọc hàng đầu này chiếm hơn 75% hoạt động.”
Các cuộc tấn công bao gồm các cuộc thăm dò lỗ hổng để xác định xem hệ thống mục tiêu có dễ bị tiêm phần mềm độc hại như web shell và công cụ khai thác tiền điện tử hay không, công ty bảo mật đám mây lưu ý.
Doytshman nói thêm: “Điều đặc biệt đáng quan tâm là mức độ chuyển biến về phía trước mà loại hình tấn công này đã thu được trong vài tuần qua. “Như chúng ta đã thấy với các lỗ hổng tương tự, CVE-2022-26134 này có thể sẽ tiếp tục bị khai thác trong ít nhất vài năm tới.”
.
