Microsoft cảnh báo chiến dịch mã độc mã hóa nhắm mục tiêu máy chủ Linux

Cryptomining Malware Hacking Linux

Một nhóm tác nhân đe dọa đám mây được theo dõi là 8220 đã cập nhật bộ công cụ phần mềm độc hại của mình để xâm phạm các máy chủ Linux với mục tiêu cài đặt các công cụ như một phần của chiến dịch dài hạn.

“Các bản cập nhật bao gồm việc triển khai các phiên bản mới của một công cụ khai thác và một bot IRC”, Security Intelligence cho biết trong một loạt các tweet vào thứ Năm. “Nhóm đã tích cực cập nhật các kỹ thuật và tải trọng của mình trong năm qua.”

8220, hoạt động từ đầu năm 2017, là một kẻ đe dọa khai thác mỏ Monero, nói tiếng Trung Quốc, được đặt tên vì sở thích giao tiếp với các máy chủ điều khiển và kiểm soát (C2) qua cổng 8220. Nó cũng là nhà phát triển của một công cụ có tên là whatMiner, đã được nhóm tội phạm mạng Rocke hợp tác trong các cuộc tấn công của họ.

Vào tháng 7 năm 2019, Nhóm bảo mật đám mây của Alibaba đã phát hiện ra một sự thay đổi bổ sung trong chiến thuật của đối thủ, lưu ý việc sử dụng rootkit để che giấu chương trình khai thác. Hai năm sau, băng nhóm này nổi lên với các biến thể botnet Tsunami IRC và một công cụ khai thác “PwnRig” tùy chỉnh.

Theo Microsoft, chiến dịch gần đây nhất tấn công các hệ thống Linux i686 và x86_64 đã được quan sát thấy vũ khí hóa các hoạt động khai thác thực thi mã từ xa cho Atlassian Confluence Server (CVE-2022-26134) và Oracle WebLogic (CVE-2019-2725) để truy cập ban đầu .

Xem tiếp:   IoT SAFE - Một cách sáng tạo để bảo mật IoT

Bước này thành công nhờ việc truy xuất trình tải phần mềm độc hại từ máy chủ từ xa được thiết kế để thả công cụ khai thác PwnRig và bot IRC, nhưng không phải trước khi thực hiện các bước để tránh bị phát hiện bằng cách xóa tệp nhật ký và tắt phần mềm bảo mật và giám sát đám mây.

Bên cạnh việc đạt được sự bền bỉ bằng công việc cron, “trình tải sử dụng công cụ quét cổng IP ‘masscan’ để tìm các máy chủ SSH khác trong mạng và sau đó sử dụng ‘tinh thần’ công cụ bạo lực SSH dựa trên GoLang để tuyên truyền”, Microsoft nói.

Phát hiện được đưa ra khi Akamai tiết lộ rằng lỗ hổng Atlassian Confluence đang chứng kiến ​​20.000 nỗ lực khai thác ổn định mỗi ngày được khởi chạy từ khoảng 6.000 IP, giảm từ mức cao nhất 100.000 ngay sau vụ tiết lộ lỗi vào ngày 2 tháng 6 năm 2022. 67% các cuộc tấn công được cho là bắt nguồn từ Mỹ

Chen Doytshman của Akamai cho biết trong tuần này: “Dẫn đầu, thương mại chiếm 38% hoạt động tấn công, tiếp theo là các dịch vụ tài chính và công nghệ cao”. “Ba ngành dọc hàng đầu này chiếm hơn 75% hoạt động.”

Các cuộc tấn công bao gồm các cuộc thăm dò lỗ hổng để xác định xem hệ thống mục tiêu có dễ bị tiêm phần mềm độc hại như web shell và công cụ khai thác tiền điện tử hay không, công ty bảo mật đám mây lưu ý.

Xem tiếp:   Băng đảng TrickBot có khả năng thay đổi hoạt động để chuyển sang phần mềm độc hại mới

Doytshman nói thêm: “Điều đặc biệt đáng quan tâm là mức độ chuyển biến về phía trước mà loại hình tấn công này đã thu được trong vài tuần qua. “Như chúng ta đã thấy với các lỗ hổng tương tự, CVE-2022-26134 này có thể sẽ tiếp tục bị khai thác trong ít nhất vài năm tới.”

.

Related Posts

Check Also

Lỗ hổng ÆPIC và SQUIP được tìm thấy trong bộ xử lý Intel và AMD

Một nhóm các nhà nghiên cứu đã tiết lộ chi tiết về một lỗ hổng …