微软警告针对 Linux 服务器的加密恶意软件活动
一个被追踪为8220的云威胁行动者组织更新了其恶意软件工具集,以入侵Linux服务器,目的是安装加密矿工,这是一项
长期行动的一部分。
微软安全情报局(Microsoft Security Intelligence)周四在一系列推文中表示:“这些更新包括部署新版本的加密矿工和IRC
机器人。”“在过去的一年里,该集团积极更新了技术和有效载荷。”
自2017年初开始活跃的8220是一个讲中文的Monero-mining威胁actor,之所以这样命名是因为它喜欢通过端口8220与
命令和控制(C2)服务器通信。它还开发了一款名为whatMiner的工具,该工具被网络犯罪集团Rocke利用进行攻击。
2019年7月,阿里巴巴云安全团队发现了对手战术的一个额外转变,指出它使用rootkit来隐藏挖矿程序。两年后,该团伙
以海啸IRC僵尸网络变体和自定义“PwnRig”矿工重新露面。
据微软称,最近针对i686和x86_64 Linux系统的攻击被观察到将新披露的Atlassian Confluence服务器(CVE-2022-26134)
和Oracle WebLogic (CVE-2019-2725)的远程代码执行漏洞武器化,用于初始访问。
这一步的成功之处是从远程服务器检索恶意软件加载程序,该加载程序的设计目的是丢弃PwnRig矿工和IRC机器人,但在
此之前,要通过删除日志文件和禁用云监控和安全软件来规避检测。
除了通过cron作业实现持久性之外,“加载程序使用IP端口扫描工具‘masscan’来查找网络中的其他SSH服务器,然后
使用基于golang的SSH蛮力工具‘spirit’来传播,”Microsoft说。
Akamai透露,Atlassian Confluence漏洞每天有大约6000个ip发起2万次攻击,低于2022年6月2日漏洞披露后的峰值10
万次。据称67%的攻击来自美国
Akamai的Chen Doytshman本周表示:“首当其冲的是商业活动,占攻击活动的38%,其次是高科技和金融服务。”“这
三大垂直领域的活动占了75%以上。”
这家云安全公司指出,这些攻击包括漏洞探测,以确定目标系统是否容易被注入恶意软件,如网络壳和加密矿工。
多伊茨曼补充说:“特别令人担忧的是,过去几周这种攻击类型的上升幅度有多大。”“正如我们看到的类似漏洞一样,该
CVE-2022-26134可能在未来至少几年内继续被利用。”