No Comments

Cryptomining-Malware zielt auf Linux-Server ab

 

Eine Gruppe von Cloud-Bedrohungsbetreibern, die als 8220 verfolgt wird, hat ihr Malware-Toolset aktualisiert, um Linux-Server zu hacken, um Kryptowährungs-Miner zu installieren. „Zu den Updates gehört die Bereitstellung neuer Versionen eines Kryptowährungs-Miners und eines IRC-Bots“, sagte Microsoft Security Intelligence in einer Reihe von Tweets vom Donnerstag. vergangenes Jahr.”

8220 ist seit Anfang 2017 aktiv und ist ein Tool zum Schürfen der chinesischsprachigen Kryptowährung Monero. Der Name ist auf seine Präferenz für die Kommunikation mit Command-and-Control-Servern (C&C) über Port 8220 zurückzuführen. Es ist auch der „Entwickler“ eines Tools namens whatMiner, das von der Cyberkriminellengruppe Rocke kooptiert wurde.

Im Juli 2019 entdeckte das Alibaba Cloud Security Team eine Änderung in der Taktik der Gruppe und bemerkte die Verwendung von Rootkits (Malware, die funktioniert, indem sie Betriebssystemaktionen abfängt und ihre Ergebnisse ändert), um das Mining-Programm zu verbergen. Zwei Jahre später tauchte die Bande mit Varianten des Tsunami-IRC-Botnetzes und einem benutzerdefinierten Miner „PwnRig“ wieder auf.

Laut Microsoft wurde nun bei der jüngsten Kampagne, die Linux i686- und x86_64-Systeme traf, beobachtet, dass Exploits zur Remote-Code-Ausführung (RCE) für den gerade veröffentlichten Atlassian Confluence Server (CVE-2022-26134) und Oracle WebLogic scharf gemacht wurden. (CVE-2019-2725) für den Erstzugriff.

Auf diesen Schritt folgt das Abrufen eines Malware-Loaders von einem Remote-Server, der darauf ausgelegt ist, den PwnRig-Miner und einen IRC-Bot zu löschen, aber nicht, bevor Schritte unternommen werden, um der Erkennung zu entgehen, indem Protokolldateien gelöscht und Cloud-Überwachung und Software deaktiviert werden. der Sicherheit.

Zusätzlich zur Persistenz über einen Cron-Job verwendet der „Loader das IP-Port-Scan-Tool ‚masscan‘, um andere SSH-Server im Netzwerk zu finden, und verwendet dann das GoLang-basierte SSH-Brute-Force-Tool ‚spirit‘ zur Verbreitung“, sagte Microsoft .

Die Ergebnisse kommen, nachdem Akamai enthüllte, dass der Atlassian Confluence-Fehler täglich 20.000 Exploit-Versuche verzeichnet, die von rund 6.000 IP-Adressen gestartet werden, verglichen mit einem Höchststand von 100.000 kurz nach Bekanntwerden des Fehlers am 2. Juni. Siebenundsechzig Prozent der Angriffe stammt angeblich aus den USA.

„An erster Stelle ist der Handel das Ziel von 38 % der Angriffe, gefolgt von Hightech- und Finanzdienstleistungssektoren“, sagte Chen Doytshman von Akamai letzte Woche. „Diese drei Hauptvertikalen repräsentieren mehr als 75 % der Aktivitäten [Malware ausführen]. „Die Angriffe reichen von Schwachstellenuntersuchungen bis hin zur Feststellung, ob das Zielsystem anfällig für Malware-Injektionen ist, wie etwa Web-Shells und Krypto-Miner, stellte die Cloud-Sicherheitsfirma fest.

„Besonders besorgniserregend ist, wie sehr sich diese Art von Angriffen in den letzten Wochen verändert hat“, fügte Doytshman hinzu. „Wie wir bei ähnlichen Schwachstellen gesehen haben, wird dieser CVE-2022-26134 wahrscheinlich noch mindestens in den nächsten zwei Jahren ausgenutzt.“

Quelle: CisoAdvisor

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.