La 8220 groupe de cryptominage a élargi sa taille pour englober jusqu’à 30 000 hôtes infectés, contre 2 000 hôtes dans le monde à la mi-2021.
« 8220 Gang est l’un des nombreux gangs de logiciels criminels peu qualifiés que nous observons continuellement infecter les hôtes cloud et exploiter un botnet et des mineurs de crypto-monnaie via des vulnérabilités connues et des vecteurs d’infection par forçage brutal d’accès à distance », Tom Hegel de SentinelOne a dit dans un rapport du lundi.
La croissance aurait été alimentée par l’utilisation de Linux et des vulnérabilités des applications cloud courantes et des configurations mal sécurisées pour des services tels que Docker, Apache WebLogic et Redis.
Actif depuis début 2017, l’acteur chinois de la menace minière Monero a été vu plus récemment ciblant les systèmes Linux i686 et x86_64 en militarisant un récent exploit d’exécution de code à distance pour Atlassian Confluence Server (CVE-2022-26134) pour supprimer le PwnRig charge utile de mineur.
« Les victimes ne sont pas ciblées géographiquement, mais simplement identifiées par leur accessibilité à Internet », a souligné Hegel.
Outre l’exécution du mineur de crypto-monnaie PwnRig, le script d’infection est également conçu pour supprimer les outils de sécurité du cloud et effectuer un forçage brutal SSH via une liste de 450 informations d’identification codées en dur pour se propager latéralement sur le réseau.
Les nouvelles versions du script sont également connues pour utiliser des listes de blocage pour éviter de compromettre des hôtes spécifiques, tels que des serveurs de pot de miel qui pourraient signaler leurs efforts illicites.
Le cryptomineur PwnRig, qui est basé sur le mineur open source Monero XMRig, a également reçu ses propres mises à jour, en utilisant un faux sous-domaine du FBI avec une adresse IP pointant vers un domaine légitime du gouvernement fédéral brésilien pour créer un escroc. bassin demander et masquer la véritable destination de l’argent généré.
La montée en puissance des opérations est également considérée comme une tentative de compenser la chute des prix des crypto-monnaies, sans parler de souligner une « bataille » accrue pour prendre le contrôle des systèmes victimes des groupes concurrents axés sur le cryptojacking.
« Au cours des dernières années, 8220 Gang a lentement fait évoluer ses scripts d’infection Linux simples mais efficaces pour développer un botnet et un mineur de crypto-monnaie illicite », a conclu Hegel. « Le groupe a apporté des changements au cours des dernières semaines pour étendre le botnet à près de 30 000 victimes dans le monde. »