Новости Группировка 8220 атакует серверы Linux

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.405
Репутация
11.800
Реакции
62.063
RUB
50
Аналитики Microsoft , что хак-группа, известная под именем 8220, обновила свой вредоносный арсенал, направленный на взлом Linux-серверов.


Злоумышленники используют свежий баг в Atlassian Confluence и старую уязвимость в Oracle WebLogic для установки криптовалютных майнеров.

«Среди обновлений: развертывание новых версий криптоваютного майнера и IRC-бота, — пишут эксперты Microsoft Security Intelligence. — Группа активно совершенствовала свои инструменты и полезные нагрузки весь последний год».

Считается, что хак-группа 8220 и связана с Китаем. В основном эти хакеры занимаются майнингом Monero, а свое название группировка получила из-за того, что ее малварь предпочитает связываться с управляющими серверами через порт 8220.

В июле 2019 года команда Alibaba Cloud Security изменения в тактике злоумышленников, отметив, что группа стала использовать руткиты для сокрытия своих майнеров. Спустя еще два года, 8220 снова с ботнетом Tsunami IRC и кастомным майнером PwnRig.

Как теперь пишут специалисты Microsoft, новейшая кампания хакеров направлена против Linux-систем (i686 и x86_64), и в ее рамках применяются эксплоиты для удаленного выполнения кода. В частности, хакеры используют для получения первоначального доступа недавно раскрытый баг в Atlassian Confluence ( ), а также старую уязвимость в Oracle WebLogic ( ).

❗ После проникновения на сервер, происходит скачивание загрузчика малвари (майнера PwnRig и IRC-бота) с удаленного сервера, однако перед этим предпринимаются шаги, направленные на избежание обнаружения: стирание файлов журналов, а также отключение ПО, отвечающего за мониторинг и безопасность в облаке.

Чтобы закрепиться в системе группировка использует задания cron. Также исследователи отмечают, что загрузчик группы использует сканер IP-портов masscan для поиска других SSH-серверов в сети, а затем брутфорсит SSH при помощи инструмента spirit, написанного на Go, что позволяет малвари распространяться дальше в случае удачи.


 
Сверху Снизу