微软警告针对 Linux 服务器的加密恶意软件活动
稿源:TheHackerNews 中文化:游侠安全网

一个被跟踪为 8220 的云威胁组织已更新其恶意软件工具集以破坏 Linux 服务器,其目标是安装加密矿工作为长期活动的一部分。

“更新包括部署新版本的加密矿工和 IRC 机器人,”微软安全情报周四在一系列推文中表示。“该组织在去年积极更新了其技术和有效载荷。”

8220 自2017 年初开始活跃,是一个讲中文的门罗币挖矿威胁参与者,因其偏好通过端口 8220 与命令和控制 (C2) 服务器通信而得名。它也是名为 whatMiner 的工具的开发者,Rocke网络犯罪组织在他们的攻击中选择了。

2019 年 7 月,阿里云安全团队发现了对手策略的一个额外转变,并指出其使用 rootkit 来隐藏挖矿程序。两年后,该团伙以 Tsunami IRC 僵尸网络变体和定制的“PwnRig”矿工重新浮出水面。

现在,根据微软的说法,最近针对 i686 和 x86_64 Linux 系统的攻击已被观察到将新披露的 Atlassian Confluence Server ( CVE-2022-26134)和 Oracle WebLogic ( CVE-2019-2725 ) 的远程代码执行漏洞武器化为初始访问.

通过从远程服务器检索恶意软件加载程序来成功执行此步骤,该恶意软件加载程序旨在删除 PwnRig 矿工和 IRC 机器人,但在采取措施通过擦除日志文件和禁用云监控和安全软件来逃避检测之前。

除了通过 cron 作业实现持久化外,“加载程序使用 IP 端口扫描工具 ‘masscan’ 查找网络中的其他 SSH 服务器,然后使用基于 GoLang 的 SSH 暴力工具 ‘spirit’ 进行传播”,微软说。

调查结果发布之际,Akamai透露,Atlassian Confluence 漏洞每天从大约 6,000 个 IP 发起的攻击尝试稳定在 20,000 次,低于 2022 年 6 月 2 日漏洞披露后的峰值 100,000 次。67%据说这些袭击来自美国

“首先,商业占攻击活动的 38%,其次分别是高科技和金融服务,”Akamai 的 Chen Doytshman 本周表示。“这三大垂直行业占活动的 75% 以上。”

这家云安全公司指出,攻击范围从漏洞探测到确定目标系统是否容易受到网络外壳和加密矿工等恶意软件的注入。

Doytshman 补充说:“特别令人担忧的是,这种攻击类型在过去几周内发生了多少向上的转变。” “正如我们在类似漏洞中看到的那样,这个 CVE-2022-26134 至少在未来几年内可能会继续被利用。”

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。