21/07/22
Киберпреступники из группировки 8220 использовали уязвимости в Linux и облачных приложениях, чтобы расширить свой ботнет до 30 тысяч зараженных хостов. Специалисты называют участников 8220 низкоквалифицированными, финансово мотивированными хакерами, которые проникают на хосты AWS, Azure , GCP, Alitun и QCloud, используя бреши в защите Docker , Redis, Confluence и Apache.
В своих предыдущих атаках группировка использовала публично доступный эксплойт для компрометации серверов Confluence. И пускай киберпреступники из 8220 далеко не так опытны и хорошо подготовлены, как Conti или LockBit, им удалось запустить длинную цепочку заражений вредоносным ПО. Это в очередной раз доказало то, какими опасными могут быть низкоквалифицированные, но упорные хакеры.
В своих атака злоумышленники обычно используют SSH-брутфорс. Это позволяет хакерам быстро продвигаться вглубь системы жертвы, при этом запуская криптомайнеры, использующие вычислительные ресурсы зараженного устройства для добычи криптовалюты.
Однако, во время анализа одной из последних кампаний 8220, специалисты из SentinelLabs заметили изменения во вредоносном скрипте, используемом для расширения ботнета. Начиная с конца июня, злоумышленники начали использовать специальный файл для SSH-брутфорса, содержащий в себе 450 жестко заданных учетных данных. Также операторы ботнета добавили в скрипт список блокировки, чтобы исключить определенные хосты из цепочки атак. В этом стоп-листе в основном содержатся ханипоты исследователей в области кибербезопасности.
Кроме всего прочего, хакеры обзавелись своим собственным криптомайнером под названием PwnRig, основанном на XMRig – майнере Monero с открытым исходным кодом. PwnRig использует поддельный поддомен ФБР с IP-адресом, указывающим на государственный ресурс Бразилии.
Ранее Securitylab сообщала о том, что 8220 проводит кампанию криптоджекинга в системах Linux. Киберпреступники майнят криптовалюту за счет крупных компаний.
