04/07/22
Группировка 8220 обновила свой набор вредоносных программ для взлома серверов Linux с целью установки криптомайнеров в рамках длительной кампании.
«Обновления включают развертывание новых версий криптомайнера и IRC-бота. Группа активно обновляла свои методы и полезные нагрузки за последний год», — говорится в сообщении Microsoft Security Intelligence.
Хакерская группа 8220 занимается майнингом Monero, согласно Securitylab. Группа так называется из-за того, что киберпреступники предпочитают обращаться к серверу управления и контроля (C2) через порт 8220. Группировка также является разработчиком инструмента whatMiner, который использовался Rocke в своих атаках.
Согласно Microsoft, кампания направлена против Linux систем i686 и x86_64. Киберпреступники используют RCE-уязвимости Atlassian Confluence Server ( CVE-2022-26134 ) и Oracle WebLogic ( CVE-2019-2725 ) для начального доступа.
Затем киберпреступники стирают файлы журнала и отключают ПО для мониторинга безопасности в облаке, чтобы избежать обнаружения. Далее злоумышленники извлекают загрузчик вредоносного ПО с удаленного сервера для удаления майнера PwnRig и IRC-бота.
Эксперты Akamai считают , что 67% атак были совершены из США. «На долю торговли приходится 38% атак, за ними следуют высокотехнологичные и финансовые услуги. Эти три сферы составляют более 75% активности», — заявил Чен Дойтшман из Akamai. «Особенно беспокоит то, что за последние несколько недель атаки увеличились. CVE-2022-26134, скорее всего, будет использоваться как минимум в ближайшие пару лет», — добавил Дойтшман.
