Eine Gruppe von Cloud-Bedrohungsakteuren, die als 8220 bekannt ist, hat ihr Malware-Toolset aktualisiert, um in Linux-Server einzudringen und Krypto-Miner zu installieren.
„Die Updates beinhalten neue Versionen eines Krypto-Miners und eines IRC-Bots“, erklärte Microsoft Security Intelligence am Donnerstag in einer Reihe von Tweets. „Die Gruppe hat ihre Techniken und Nutzlasten im Laufe des letzten Jahres aktiv aktualisiert.
8220, der seit Anfang 2017 aktiv ist, ist ein chinesischsprachiger Monero-Mining-Bedrohungsakteur, der so genannt wird, weil er bevorzugt über Port 8220 mit Command-and-Control (C2)-Servern kommuniziert. Er ist auch der Entwickler eines Tools namens whatMiner, das von der Cybercrime-Gruppe Rocke für ihre Angriffe genutzt wird.
Im Juli 2019 entdeckte das Alibaba Cloud Security Team eine weitere Veränderung in der Taktik des Gegners und stellte fest, dass er Rootkits verwendet, um das Mining-Programm zu verstecken. Zwei Jahre später tauchte die Bande mit Tsunami-IRC-Botnet-Varianten und einem speziellen „PwnRig“-Mining-Programm wieder auf.
Nach Angaben von Microsoft wurde die jüngste Kampagne, die i686- und x86_64-Linux-Systeme angreift, dabei beobachtet, wie sie Remote-Code-Execution-Exploits für den kürzlich veröffentlichten Atlassian Confluence Server (CVE-2022-26134) und Oracle WebLogic (CVE-2019-2725) für den Erstzugriff nutzt.
Anschließend wird ein Malware-Loader von einem entfernten Server abgerufen, der den PwnRig-Miner und einen IRC-Bot abwirft, aber erst, nachdem er Schritte unternommen hat, um der Entdeckung zu entgehen, indem er Protokolldateien löscht und Cloud-Überwachungs- und Sicherheitssoftware deaktiviert.
Neben der Persistenz durch einen Cron-Job nutzt der Loader das IP-Port-Scanner-Tool ‚masscan‘, um andere SSH-Server im Netzwerk zu finden, und verwendet dann das GoLang-basierte SSH-Brute-Force-Tool ’spirit‘, um sich zu verbreiten“, so Microsoft.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem Akamai bekannt gibt, dass die Confluence-Schwachstelle von Atlassian täglich 20.000 Angriffe von etwa 6.000 IPs ausführt, während es unmittelbar nach der Veröffentlichung des Fehlers am 2. Juni 2022 noch 100.000 waren. 67% der Angriffe sollen aus den USA stammen.
„An der Spitze liegt der Handel mit 38% der Angriffsaktivitäten, gefolgt von Hightech und Finanzdienstleistungen“, sagte Chen Doytshman von Akamai diese Woche. „Diese drei Branchen machen mehr als 75 % der Aktivitäten aus.
Die Angriffe reichen von Schwachstellensondierungen, um herauszufinden, ob das Zielsystem anfällig für die Einschleusung von Malware wie Web-Shells und Krypto-Minern ist, so das Cloud-Sicherheitsunternehmen.
„Besonders besorgniserregend ist, wie sehr sich diese Angriffsart in den letzten Wochen nach oben entwickelt hat“, so Doytshman weiter. „Wie wir bei ähnlichen Schwachstellen gesehen haben, wird CVE-2022-26134 wahrscheinlich noch mindestens ein paar Jahre lang ausgenutzt werden.“