Un groupe d’acteurs de la menace cloud suivi sous le nom de 8220 a mis à jour son ensemble d’outils malveillants pour violer les serveurs Linux dans le but d’installer des crypto-mineurs dans le cadre d’une campagne de longue durée.
« Les mises à jour incluent le déploiement de nouvelles versions d’un crypto-mineur et d’un bot IRC », Microsoft Security Intelligence a dit dans une série de tweets jeudi. « Le groupe a activement mis à jour ses techniques et ses charges utiles au cours de l’année dernière. »
8220, actif depuis début 2017est un acteur chinois de menace minière Monero ainsi nommé pour sa préférence pour communiquer avec les serveurs de commande et de contrôle (C2) sur le port 8220. Il est également le développeur d’un outil appelé whatMiner, qui a été coopté par le groupe cybercriminel Rocke dans leurs attaques.
En juillet 2019, l’équipe Alibaba Cloud Security découvert un changement supplémentaire dans la tactique de l’adversaire, notant son utilisation de rootkits pour cacher le programme de minage. Deux ans plus tard, le gang refait surface avec Tsunami Réseau de zombies IRC variantes et un mineur « PwnRig » personnalisé.
Maintenant, selon Microsoft, la campagne la plus récente frappant les systèmes Linux i686 et x86_64 a été observée en train de militariser des exploits d’exécution de code à distance pour le serveur Atlassian Confluence récemment dévoilé (CVE-2022-26134) et Oracle WebLogic (CVE-2019-2725) pour un accès initial. .
Cette étape est suivie par la récupération d’un chargeur de logiciels malveillants à partir d’un serveur distant conçu pour supprimer le mineur PwnRig et un bot IRC, mais pas avant de prendre des mesures pour échapper à la détection en effaçant les fichiers journaux et en désactivant les logiciels de surveillance et de sécurité du cloud.
En plus d’atteindre la persistance au moyen d’une tâche cron, le « chargeur utilise l’outil d’analyse de port IP ‘masscan’ pour trouver d’autres serveurs SSH dans le réseau, puis utilise l’outil de force brute SSH basé sur GoLang ‘spirit’ pour se propager », Microsoft a dit.
Les découvertes arrivent alors qu’Akamai révélé que la faille Atlassian Confluence est témoin de 20 000 tentatives d’exploitation par jour qui sont lancées à partir d’environ 6 000 adresses IP, contre un pic de 100 000 immédiatement après la divulgation du bogue le 2 juin 2022. 67 % des attaques auraient originaire des États-Unis
« En tête, le commerce représente 38 % de l’activité d’attaque, suivi respectivement de la haute technologie et des services financiers », a déclaré cette semaine Chen Doytshman d’Akamai. « Ces trois principaux marchés verticaux représentent plus de 75 % de l’activité. »
Les attaques vont des sondes de vulnérabilité pour déterminer si le système cible est susceptible d’injecter des logiciels malveillants tels que des shells Web et des crypto-mineurs, a noté la société de sécurité cloud.
« Ce qui est particulièrement préoccupant, c’est l’ampleur du changement vers le haut de ce type d’attaque au cours des dernières semaines », a ajouté Doytshman. « Comme nous l’avons vu avec des vulnérabilités similaires, ce CVE-2022-26134 continuera probablement à être exploité pendant au moins les deux prochaines années. »