您好,欢迎访问利联科技官网!    24小时服务热线:400-161-0880    我们有最适合您的产品和最好的服务。登录  /  注册  /  旧平台入口

微软警告针对 Linux 服务器的加密恶意软件活动

 

一个被追踪为8220的云威胁行动者组织更新了其恶意软件工具集,以入侵Linux服务器,目的是安装加密矿工,这是一项

长期行动的一部分。


微软安全情报局(Microsoft Security Intelligence)周四在一系列推文中表示:“这些更新包括部署新版本的加密矿工和IRC

机器人。”“在过去的一年里,该集团积极更新了技术和有效载荷。”


自2017年初开始活跃的8220是一个讲中文的Monero-mining威胁actor,之所以这样命名是因为它喜欢通过端口8220与

命令和控制(C2)服务器通信。它还开发了一款名为whatMiner的工具,该工具被网络犯罪集团Rocke利用进行攻击。


2019年7月,阿里巴巴云安全团队发现了对手战术的一个额外转变,指出它使用rootkit来隐藏挖矿程序。两年后,该团伙

以海啸IRC僵尸网络变体和自定义“PwnRig”矿工重新露面。


据微软称,最近针对i686和x86_64 Linux系统的攻击被观察到将新披露的Atlassian Confluence服务器(CVE-2022-26134)

和Oracle WebLogic (CVE-2019-2725)的远程代码执行漏洞武器化,用于初始访问。


这一步的成功之处是从远程服务器检索恶意软件加载程序,该加载程序的设计目的是丢弃PwnRig矿工和IRC机器人,但在

此之前,要通过删除日志文件和禁用云监控和安全软件来规避检测。


除了通过cron作业实现持久性之外,“加载程序使用IP端口扫描工具‘masscan’来查找网络中的其他SSH服务器,然后

使用基于golang的SSH蛮力工具‘spirit’来传播,”Microsoft说。


Akamai透露,Atlassian Confluence漏洞每天有大约6000个ip发起2万次攻击,低于2022年6月2日漏洞披露后的峰值10

次。据称67%的攻击来自美国


Akamai的Chen Doytshman本周表示:“首当其冲的是商业活动,占攻击活动的38%,其次是高科技和金融服务。”“这

大垂直领域的活动占了75%以上。”


这家云安全公司指出,这些攻击包括漏洞探测,以确定目标系统是否容易被注入恶意软件,如网络壳和加密矿工。


多伊茨曼补充说:“特别令人担忧的是,过去几周这种攻击类型的上升幅度有多大。”“正如我们看到的类似漏洞一样,该

CVE-2022-26134可能在未来至少几年内继续被利用。”


您可能还会对下面的文章感兴趣: