Grup aktor ancaman cloud yang dilacak sebagai 8220 telah memperbarui perangkat malwarenya untuk menembus server Linux dengan tujuan memasang penambang kripto sebagai bagian dari kampanye jangka panjang.
“Pembaruan termasuk penyebaran versi baru penambang kripto dan bot IRC,” Intelijen Keamanan Microsoft dikatakan dalam serangkaian tweet pada hari Kamis. “Grup ini telah secara aktif memperbarui teknik dan muatannya selama setahun terakhir.”
8220, aktif sejak awal 2017, adalah aktor ancaman penambangan Monero berbahasa Cina yang dinamai demikian karena preferensinya untuk berkomunikasi dengan server perintah-dan-kontrol (C2) melalui port 8220. Ini juga merupakan pengembang alat yang disebut whatMiner, yang telah dikooptasi oleh kelompok kejahatan dunia maya Rocke dalam serangan mereka.
Pada Juli 2019, Tim Keamanan Alibaba Cloud menemukan perubahan ekstra dalam taktik musuh, dengan mencatat penggunaan rootkit untuk menyembunyikan program penambangan. Dua tahun kemudian, geng itu muncul kembali dengan varian botnet Tsunami IRC dan penambang “PwnRig” khusus.
Sekarang menurut Microsoft, kampanye terbaru yang menyerang sistem Linux i686 dan x86_64 telah diamati mempersenjatai eksploitasi eksekusi kode jarak jauh untuk Atlassian Confluence Server (CVE-2022-26134) yang baru diungkapkan dan Oracle WebLogic (CVE-2019-2725) untuk akses awal .
Langkah ini berhasil dengan pengambilan pemuat malware dari server jarak jauh yang dirancang untuk menghapus penambang PwnRig dan bot IRC, tetapi tidak sebelum mengambil langkah untuk menghindari deteksi dengan menghapus file log dan menonaktifkan pemantauan cloud dan perangkat lunak keamanan.
Selain mencapai kegigihan melalui pekerjaan cron, “loader menggunakan alat pemindai port IP ‘masscan’ untuk menemukan server SSH lain di jaringan, dan kemudian menggunakan alat brute force SSH berbasis GoLang ‘roh’ untuk menyebar,” Microsoft dikatakan.
Temuan itu muncul saat Akamai mengungkapkan bahwa cacat Atlassian Confluence menyaksikan 20.000 upaya eksploitasi yang stabil per hari yang diluncurkan dari sekitar 6.000 IP, turun dari puncak 100.000 segera setelah pengungkapan bug pada 2 Juni 2022. 67% serangan dikatakan berasal dari AS
“Dalam memimpin, perdagangan menyumbang 38% dari aktivitas serangan, diikuti oleh teknologi tinggi dan layanan keuangan, masing-masing,” kata Chen Doytshman dari Akamai minggu ini. “Tiga vertikal teratas ini membentuk lebih dari 75% aktivitas.”
Serangan berkisar dari penyelidikan kerentanan untuk menentukan apakah sistem target rentan terhadap injeksi malware seperti shell web dan penambang kripto, perusahaan keamanan cloud mencatat.
“Yang sangat memprihatinkan adalah seberapa besar pergeseran ke atas jenis serangan ini telah dikumpulkan selama beberapa minggu terakhir,” tambah Doytshman. “Seperti yang telah kita lihat dengan kerentanan serupa, CVE-2022-26134 ini kemungkinan akan terus dieksploitasi setidaknya selama beberapa tahun ke depan.”