Предупреждение Microsoft: это вредоносное ПО, нацеленное на Linux, только что получило большое обновление

Microsoft предупреждает о недавней работе банды вредоносных программ «8220», направленной на компрометацию систем Linux и установку вредоносного ПО для майнинга криптовалют.

Microsoft заявляет, что обнаружила «заметные обновления» вредоносного ПО, нацеленного на серверы Linux, для установки вредоносного ПО-криптомайнера.

Microsoft упомянула о недавней работе так называемой группы «банды 8220», которая недавно была замечена в использовании критической ошибки, затронувшей Atlassian Confluence Server и Data Center, отслеживаемой как CVE-2022-26134.

«За последний год группа активно обновляла свои методы и полезную нагрузку. Самая последняя кампания нацелена на системы Linux i686 и x86_64 и использует эксплойты RCE для CVE-2022-26134 (Confluence) и CVE-2019-2725 (WebLogic) для первоначального доступа. », — отмечает Центр разведки безопасности Microsoft.

СМОТРИТЕ: Доминируют облачные вычисления. Но безопасность сейчас — самая большая проблема

«Обновления включают в себя развертывание новых версий криптомайнера и IRC-бота, а также использование эксплойта для недавно обнаруженной уязвимости», — предупредила Microsoft.

Atlassian сообщил об ошибке 2 июня, а через неделю охранная фирма Check Point обнаружила, что банда 8220 использовала уязвимость Atlassian для установки вредоносного ПО в системы Linux. Группа также атаковала системы Windows, используя уязвимость Atlassian для внедрения сценария в процесс памяти PowerShell.

CISA уже предупредила федеральные агентства о необходимости исправить проблему к 6 июня, а до тех пор заблокировать весь доступ к продукту в Интернете.

По данным группы Cisco Talos Intelligence, банда 8220 действует с 2017 года, которая описала ее как китайскоязычного злоумышленника, занимающегося майнингом Monero, чьи C2 часто обмениваются данными через порт 8220, за что и получили свое название. На этом этапе они нацеливались на уязвимости образов Apache Struts2 и Docker, чтобы поставить под угрозу корпоративные серверы.

По словам Microsoft, после того, как банда 8220 получает первоначальный доступ через CVE-2022-26134, она загружает в систему загрузчик, который меняет ее конфигурации для отключения служб безопасности, загружает криптомайнер, устанавливает постоянство в сети, а затем сканирует порты на сети, чтобы найти другие серверы.

СМОТРИТЕ: Почему нас должна волновать криптовалюта? Экономическое обоснование для более внимательного изучения

Microsoft предупреждает администраторов о необходимости включить параметры защиты от несанкционированного доступа Defender для конечной точки, поскольку загрузчик очищает файлы журналов и отключает инструменты облачного мониторинга и безопасности.

Загрузчик загружает криптомайнер pwnRig (v1.41.9) и команды запуска IRC-бота с C2-сервера. Он выдерживает перезагрузку, создавая задачи планирования с помощью cronjob или сценария, который запускается каждые 60 секунд в виде команды nohup или «без зависания».

«Загрузчик использует инструмент сканирования IP-портов «массовое сканирование» для поиска других SSH-серверов в сети, а затем использует инструмент грубой силы SSH на основе GoLang «дух» для распространения. Он также сканирует локальный диск на предмет ключей SSH для перемещения вбок. путем подключения к известным хостам», — объясняет Microsoft.