Аналитики Microsoft
, что хак-группа, известная под именем 8220, обновила свой вредоносный арсенал, направленный на взлом Linux-серверов.
Злоумышленники используют свежий баг в Atlassian Confluence и старую уязвимость в Oracle WebLogic для установки криптовалютных майнеров.
Считается, что хак-группа 8220 и связана с Китаем. В основном эти хакеры занимаются майнингом Monero, а свое название группировка получила из-за того, что ее малварь предпочитает связываться с управляющими серверами через порт 8220.
В июле 2019 года команда Alibaba Cloud Security изменения в тактике злоумышленников, отметив, что группа стала использовать руткиты для сокрытия своих майнеров. Спустя еще два года, 8220 снова с ботнетом Tsunami IRC и кастомным майнером PwnRig.
Как теперь пишут специалисты Microsoft, новейшая кампания хакеров направлена против Linux-систем (i686 и x86_64), и в ее рамках применяются эксплоиты для удаленного выполнения кода. В частности, хакеры используют для получения первоначального доступа недавно раскрытый баг в Atlassian Confluence ( ), а также старую уязвимость в Oracle WebLogic ( ).
После проникновения на сервер, происходит скачивание загрузчика малвари (майнера PwnRig и IRC-бота) с удаленного сервера, однако перед этим предпринимаются шаги, направленные на избежание обнаружения: стирание файлов журналов, а также отключение ПО, отвечающего за мониторинг и безопасность в облаке.
Чтобы закрепиться в системе группировка использует задания cron. Также исследователи отмечают, что загрузчик группы использует сканер IP-портов masscan для поиска других SSH-серверов в сети, а затем брутфорсит SSH при помощи инструмента spirit, написанного на Go, что позволяет малвари распространяться дальше в случае удачи.
Злоумышленники используют свежий баг в Atlassian Confluence и старую уязвимость в Oracle WebLogic для установки криптовалютных майнеров.
Считается, что хак-группа 8220 и связана с Китаем. В основном эти хакеры занимаются майнингом Monero, а свое название группировка получила из-за того, что ее малварь предпочитает связываться с управляющими серверами через порт 8220.
В июле 2019 года команда Alibaba Cloud Security изменения в тактике злоумышленников, отметив, что группа стала использовать руткиты для сокрытия своих майнеров. Спустя еще два года, 8220 снова с ботнетом Tsunami IRC и кастомным майнером PwnRig.
Как теперь пишут специалисты Microsoft, новейшая кампания хакеров направлена против Linux-систем (i686 и x86_64), и в ее рамках применяются эксплоиты для удаленного выполнения кода. В частности, хакеры используют для получения первоначального доступа недавно раскрытый баг в Atlassian Confluence ( ), а также старую уязвимость в Oracle WebLogic ( ).
После проникновения на сервер, происходит скачивание загрузчика малвари (майнера PwnRig и IRC-бота) с удаленного сервера, однако перед этим предпринимаются шаги, направленные на избежание обнаружения: стирание файлов журналов, а также отключение ПО, отвечающего за мониторинг и безопасность в облаке.Чтобы закрепиться в системе группировка использует задания cron. Также исследователи отмечают, что загрузчик группы использует сканер IP-портов masscan для поиска других SSH-серверов в сети, а затем брутфорсит SSH при помощи инструмента spirit, написанного на Go, что позволяет малвари распространяться дальше в случае удачи.
