Eine Gruppe von Cloud-Bedrohungsakteuren, die als 8220 bezeichnet wird, hat ihr Malware-Toolset aktualisiert, um in Linux-Server einzudringen und Krypto-Miner als Teil einer lang laufenden Kampagne zu installieren.
“Die Updates beinhalten die Bereitstellung neuer Versionen eines Krypto-Miners und eines IRC-Bots”, so Microsoft Security Intelligence in einer Reihe von Tweets am Donnerstag. “Die Gruppe hat ihre Techniken und Nutzlasten im letzten Jahr aktiv aktualisiert.”
8220, aktiv seit Anfang 2017, ist ein chinesischsprachiger Monero-Mining-Bedrohungsakteur, der so genannt wird, weil er bevorzugt mit Command-and-Control-Servern (C2) über Port 8220 kommuniziert. Er ist auch der Entwickler eines Tools namens whatMiner, das von der Cybercrime-Gruppe Rocke für ihre Angriffe genutzt wird.
Im Juli 2019 entdeckte das Alibaba Cloud Security Team eine weitere Veränderung in der Taktik des Gegners und stellte fest, dass dieser Rootkits verwendet, um das Mining-Programm zu verstecken. Zwei Jahre später tauchte die Bande mit Tsunami-IRC-Botnet-Varianten und einem speziellen “PwnRig”-Mining-Programm wieder auf.
Laut Microsoft wurde die jüngste Kampagne, die i686- und x86_64-Linux-Systeme angreift, dabei beobachtet, wie sie Remote-Code-Execution-Exploits für die kürzlich bekannt gewordenen Atlassian Confluence Server (CVE-2022-26134) und Oracle WebLogic (CVE-2019-2725) für den ersten Zugriff nutzt.
Nach diesem Schritt wird ein Malware-Loader von einem entfernten Server abgerufen, der den PwnRig-Miner und einen IRC-Bot abwerfen soll, jedoch nicht, bevor Schritte unternommen werden, um die Erkennung zu umgehen, indem Protokolldateien gelöscht und Cloud-Überwachungs- und Sicherheitssoftware deaktiviert werden.
Neben der Persistenz durch einen Cron-Job verwendet der Lader das IP-Port-Scanner-Tool ‘masscan’, um andere SSH-Server im Netzwerk zu finden, und nutzt dann das GoLang-basierte SSH-Brute-Force-Tool ‘spirit’, um sich zu verbreiten”, so Microsoft.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem Akamai enthüllt, dass die Confluence-Schwachstelle von Atlassian täglich 20.000 Ausnutzungsversuche verzeichnet, die von etwa 6.000 IPs aus gestartet werden, während es unmittelbar nach der Veröffentlichung des Fehlers am 2. Juni 2022 noch 100.000 waren. 67 % der Angriffe sollen aus den USA stammen.
“An der Spitze liegt der Handel mit 38 % der Angriffsaktivitäten, gefolgt von Hightech und Finanzdienstleistungen”, sagte Chen Doytshman von Akamai diese Woche. “Diese drei wichtigsten Branchen machen mehr als 75 % der Aktivitäten aus.
Die Angriffe reichen von Schwachstellensondierungen, um festzustellen, ob das Zielsystem anfällig ist, bis hin zur Einschleusung von Malware wie Web-Shells und Krypto-Minern, so das Cloud-Sicherheitsunternehmen.
“Besonders besorgniserregend ist, wie sehr sich dieser Angriffstyp in den letzten Wochen nach oben verschoben hat”, so Doytshman weiter. “Wie wir bei ähnlichen Schwachstellen gesehen haben, wird diese CVE-2022-26134 wahrscheinlich noch mindestens für die nächsten Jahre ausgenutzt werden.”
hi