Nenhum comentário

Malware de criptomineração tem como alvo servidores Linux

 

Um grupo de operadores de ameaças na nuvem, rastreados como 8220, atualizou seu conjunto de ferramentas de malware para hackear servidores Linux com o objetivo de instalar mineradores de criptomoedas. “As atualizações incluem a implantação de novas versões de um minerador de criptomoedas e um bot de IRC”, disse a Microsoft Security Intelligence em uma série de tweets feitos na quinta-feira. ano passado.”

O 8220 está ativo desde o início de 2017 e é uma ferramenta para minerar a criptomoeda Monero em chinês. O nome se deve à sua preferência por se comunicar com servidores de comando e controle (C&C) sobre a porta 8220. É também o “desenvolvedor” de uma ferramenta chamada whatMiner, que foi cooptada pelo grupo de cibercriminosos Rocke.

Em julho de 2019, o Alibaba Cloud Security Team descobriu uma mudança nas táticas do grupo, observando o uso de rootkits (malwares que funcionam interceptando ações do sistema operacional e alterando seus resultados) para ocultar o programa de mineração. Dois anos depois, a gangue ressurgiu com variantes do botnet Tsunami IRC e um minerador personalizado “PwnRig”.

Agora, de acordo com a Microsoft, a última campanha que atingiu os sistemas Linux i686 e x86_64 foi observada armando explorações de execução remota de código (RCE) para o recém-lançado Atlassian Confluence Server (CVE-2022-26134) e Oracle WebLogic. (CVE-2019-2725) para acesso inicial.

Esta etapa é seguida pela recuperação de um carregador de malware de um servidor remoto projetado para descartar o minerador PwnRig e um bot de IRC, mas não antes de tomar medidas para evitar a detecção apagando arquivos de log e desativando o monitoramento e o software na nuvem. de segurança.

Além de alcançar a persistência por meio de um cron job, o “loader usa a ferramenta de varredura de porta IP ‘masscan’ para encontrar outros servidores SSH na rede e, em seguida, usa a ferramenta de força bruta SSH baseada em GoLang ‘spirit’ para propagar”, disse a Microsoft. .

As descobertas vêm depois que a Akamai revelou que a falha do Atlassian Confluence está testemunhando 20.000 tentativas de exploração por dia que são lançadas de cerca de 6.000 endereços IP, abaixo de um pico de 100.000 logo após a divulgação do bug em 2 de junho. Sessenta e sete por cento dos ataques supostamente originado nos EUA.

“Na liderança, o comércio é o alvo de 38% dos ataques, seguido pelos setores de alta tecnologia e serviços financeiros, respectivamente”, disse Chen Doytshman, da Akamai, na semana passada. “Essas três verticais principais representam mais de 75% das atividades [do malware]. “Os ataques vão desde sondagens de vulnerabilidade até determinar se o sistema alvo é suscetível à injeção de malware, como web shells e mineradores de criptografia, observou a empresa de segurança em nuvem.

“O que é particularmente preocupante é quanta mudança esse tipo de ataque viu nas últimas semanas”, acrescentou Doytshman. “Como vimos com vulnerabilidades semelhantes, este CVE-2022-26134 provavelmente continuará a ser explorado pelo menos nos próximos dois anos.”

Fonte: CisoAdvisor

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado.

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.