Криптомайнинговая группировка 8220 увеличилась в размерах и охватывает до 30 000 зараженных хостов, по сравнению с 2000 хостов в середине 2021 года.
«8220 Gang - это одна из многих преступных группировок низкой квалификации, которые мы постоянно наблюдаем за заражением облачных хостов и работой ботнета и криптовалютных майнеров через известные уязвимости и удаленный доступ с применением брутфорс-атак» - сообщил Том Хегель из SentinelOne.
Как утверждается, рост подпитывается за счет использования Linux и распространенных уязвимостей облачных приложений и плохо защищенных конфигураций для таких сервисов, как Docker, Apache WebLogic и Redis.
Активный с начала 2017 года, китайскоговорящий злоумышленник, добывающий Monero, недавно был замечен в атаках на системы Linux i686 и x86_64, используя недавний эксплойт удаленного выполнения кода для Atlassian Confluence Server (CVE-2022-26134) для сброса полезной нагрузки майнера PwnRig.
«Жертвы не выбираются географически, а просто определяются по их доступу в Интернет» - отметил Хегель.
Помимо выполнения криптовалютного майнера PwnRig, скрипт заражения также предназначен для удаления облачных инструментов безопасности и проведения перебора SSH через список из 450 жестко закодированных учетных данных для дальнейшего распространения по сети.
Известно, что новые версии скрипта также используют списки блокировки, чтобы избежать компрометации определенных узлов, таких как ханипоты, которые могут засечь их незаконные действия.
Криптомайнер PwnRig, основанный на открытом майнере Monero XMRig, также получил свои обновления. Он использует поддельный поддомен ФБР с IP-адресом, указывающим на законный домен федерального правительства Бразилии, для создания мошеннического пула запросов и скрытия реального назначения генерируемых денег.
Расширение операций также рассматривается как попытка компенсировать падение цен на криптовалюты, не говоря уже о том, что это подчеркивает усиление «битвы» за контроль над системами жертв со стороны конкурирующих групп, ориентированных на криптоджекинг.
«За последние несколько лет 8220 медленно развивала свои простые, но эффективные скрипты заражения Linux для расширения ботнета и незаконного майнера криптовалюты» - заключил Хегель. «В последние недели группа внесла изменения, чтобы расширить ботнет почти до 30 000 жертв по всему миру».
Источник: https://thehackernews.com