Um grupo de operadores de ameaças na nuvem, rastreado como 8220, atualizou seu conjunto de ferramentas de malware para invadir servidores Linux com o objetivo de instalar mineradores de criptomoedas. “As atualizações incluem a implantação de novas versões de um minerador de criptomoedas e um bot de IRC”, disse a Microsoft Security Intelligence em uma série de tuítes feitos na quinta-feira, 30. “O grupo atualizou ativamente suas técnicas e cargas úteis no último ano.”
O 8220 está ativo desde o início de 2017 e é uma ferramenta para mineração da criptomoeda Monero de idioma chinês. A denominação se deve a sua preferência em se comunicar com servidores de comando e controle (C&C) pela porta 8220. Também é o “desenvolvedor” de uma ferramenta chamada whatMiner, que foi cooptada pelo grupo de cibercriminosos Rocke.
Em julho de 2019, o Alibaba Cloud Security Team descobriu uma mudança nas táticas do grupo, observando o uso de rootkits (malwares que funcionam interceptando ações do sistema operacional e alterando seus resultados) para ocultar o programa de mineração. Dois anos depois, a gangue ressurgiu com variantes da botnet Tsunami IRC e um minerador personalizado “PwnRig”.
Agora, de acordo com a Microsoft, a campanha mais recente que atingiu os sistemas Linux i686 e x86_64 foi observada armando explorações de execução remota de código (RCE) para o recém-divulgado Atlassian Confluence Server (CVE-2022-26134) e Oracle WebLogic (CVE-2019-2725) para acesso inicial.
Essa etapa é sucedida pela recuperação de um carregador de malware de um servidor remoto projetado para descartar o minerador PwnRig e um bot de IRC, mas não antes de tomar medidas para evitar a detecção apagando arquivos de log e desabilitando o monitoramento em nuvem e o software de segurança.
Veja isso
Malware busca credenciais de bancos brasileiros no Linux
Novo ransomware para Linux tem como alvo servidores VMware ESXi
Além de alcançar a persistência por meio de um cron job, o “carregador usa a ferramenta de varredura de porta IP ‘masscan’ para encontrar outros servidores SSH na rede e, em seguida, usa a ferramenta de força bruta SSH baseada em GoLang ‘spirit’ para propagar”, Microsoft disse.
As descobertas ocorrem após a Akamai revelar que a falha do Atlassian Confluence está testemunhando 20 mil tentativas de exploração por dia que são lançadas de cerca de 6 mil endereços IPs, abaixo do pico de 100 mil logo após a divulgação do bug em 2 de junho. Sessenta e sete por cento dos ataques teriam se originado nos EUA.
“Na liderança, o comércio é alvo de 38% dos ataques, seguido pelos setores de alta tecnologia e serviços financeiros, respectivamente”, disse Chen Doytshman, da Akamai, na semana passada. “Essas três principais verticais representam mais de 75% das atividades [do malware]. “Os ataques variam de sondagens de vulnerabilidade para determinar se o sistema de destino é suscetível à injeção de malware, como shells da web e mineradores de criptografia, observou a empresa de segurança em nuvem.
“O que é particularmente preocupante é o quanto de mudança esse tipo de ataque obteve nas últimas semanas”, acrescentou Doytshman. “Como vimos com vulnerabilidades semelhantes, este CVE-2022-26134 provavelmente continuará a ser explorado pelo menos nos próximos dois anos.”
