Microsoft Security Intelligence аблюдали заметные обновления в длительной кампании вредоносного ПО, нацеленного на системы Linux группой, известной как "8220". Обновления включают развертывание новых версий криптомайнера и IRC-бота, а также использование эксплойта для недавно раскрытой уязвимости.
- Группа активно обновляла свои методы и полезную нагрузку в течение последнего года. Последняя кампания нацелена на системы i686 и x86_64 Linux и использует RCE-эксплойты для CVE-2022-26134 (Confluence) и CVE-2019-2725 (WebLogic) для первоначального доступа.
- После первоначального доступа загрузчик загружается с сайта jira[.]letmaker[.]top. Этот загрузчик ускользает от обнаружения, очищая файлы журналов и отключая облачные средства мониторинга и безопасности.
- Загрузчик загружает pwnRig crpytominer (v1.41.0) и IRC-бота, который выполняет команды с сервера C2. Создает либо cronjob, либо скрипт, который запускается каждые 60 секунд как nohup.
- Загрузчик использует инструмент сканирования IP-портов "masscan" для поиска других SSH-серверов в сети, а затем использует основанный на GoLang инструмент перебора SSH "spirit" для распространения. Он также сканирует локальный диск на наличие SSH-ключей, чтобы перемещаться вбок, подключаясь к известным хостам.
Indicators of Compromise
Domains
- jira.letmaker.top
SHA256
- ca7fb4ee975499b2b1497fb1be69d0187d0a5cf83a2a646ad2855f4e739c8326
- bd3c7a55ee04d5713eaf36dfca291533a544b8f58c1e6e30dcd46e3b58bf38e5
- 2bd102ddc0e618d91a7adc3f3fb92fcfb258680f11b904bb129f5f2f918dcc5f
- 02acdc11b6e22b8fa19ebafb10190ac28a7f0e5ee569a058c2df825337e4447a
- 0013b356966c3d693b253cdf00c7fdf698890c9b75605be07128cac446904ad9
- 67ef6dce6907d43627a8cb372be6b2b811d4ba7c8e004222ec08226e524cbc24