Advertencia de Microsoft: este malware dirigido a Linux acaba de recibir una gran actualización
Microsoft advierte sobre el trabajo reciente del grupo de malware '8220' para comprometer sistemas Linux e instalar malware de criptominería.
Microsoft dice que ha detectado "actualizaciones notables" de malware dirigido a servidores Linux para instalar malware criptominero.
Microsoft ha denunciado el trabajo reciente del grupo llamado "banda 8220", que recientemente ha sido descubierto explotando el error crítico que afecta al servidor y centro de datos Atlassian Confluence, rastreado como CVE-2022-26134.
"El grupo ha actualizado activamente sus técnicas y cargas útiles durante el último año. La campaña más reciente se dirige a los sistemas Linux i686 y x86_64 y utiliza exploits RCE para CVE-2022-26134 (Confluence) y CVE-2019-2725 (WebLogic) para el acceso inicial. ", señala el Centro de Inteligencia de Seguridad de Microsoft.
VER: La computación en la nube domina. Pero la seguridad es ahora el mayor desafío
"Las actualizaciones incluyen el despliegue de nuevas versiones de un criptominero y un bot IRC, así como el uso de un exploit para una vulnerabilidad revelada recientemente", advirtió Microsoft.
Atlassian reveló el error el 2 de junio y, al cabo de una semana, la empresa de seguridad Check Point descubrió que la banda 8220 estaba utilizando el error de Atlassian para instalar malware en sistemas Linux. El grupo también apuntaba a sistemas Windows utilizando la falla de Atlassian para inyectar un script en un proceso de memoria PowerShell.
CISA ya había advertido a las agencias federales que lo parchearan antes del 6 de junio y hasta entonces bloquearan todo acceso a Internet al producto.
La pandilla 8220 ha estado activa desde 2017, según el grupo Talos Intelligence de Cisco, que la describió como un actor de amenazas de minería de Monero de habla china cuyos C2 a menudo se comunican a través del puerto 8220, lo que le valió su nombre. En ese momento, apuntaban a las vulnerabilidades de las imágenes de Apache Struts2 y Docker para comprometer los servidores empresariales.
Según Microsoft, después de que la banda 8220 obtiene acceso inicial a través de CVE-2022-26134, descarga un cargador en el sistema que cambia sus configuraciones para desactivar los servicios de seguridad, descarga un criptominero, establece persistencia en una red y luego escanea los puertos en la red. red para encontrar otros servidores.
VER: ¿Por qué deberíamos preocuparnos por las criptomonedas? El argumento comercial para mirar más de cerca
Microsoft advierte a los administradores que habiliten la configuración de protección contra manipulaciones de Defender for Endpoint porque el cargador borra los archivos de registro y deshabilita las herramientas de seguridad y monitoreo de la nube.
El cargador descarga el criptominero pwnRig (v1.41.9) y un bot IRC ejecuta comandos desde un servidor C2. Sobrevive a un reinicio creando tareas de programación a través de un cronjob o un script que se ejecuta cada 60 segundos como un comando nohup o "no colgar".
"El cargador utiliza la herramienta de escaneo de puertos IP "masscan" para encontrar otros servidores SSH en la red, y luego usa la herramienta de fuerza bruta SSH "spirit" basada en GoLang para propagarse. También escanea el disco local en busca de claves SSH para moverse lateralmente. conectándose a hosts conocidos", explica Microsoft.