یک گروه عامل تهدید ابری که تحت عنوان ۸۲۲۰ ردیابی میشود، مجموعه ابزار دژافزاریِ خود را برای نفوذ به سرورهای لینوکس با هدف نصب ماینرهای رمزنگاری بهعنوان بخشی از یک کمپین طولانیمدت، بهروز کرده است.
اطلاعات امنیتی مایکروسافت روز پنجشنبه ۳۰ ژوئن ۲۰۲۲ در مجموعهای از توییتها گفت[۱]: «این بهروزرسانیها شامل استقرار نسخههای جدید یک ماینر رمزنگاری و یک ربات IRC است». این گروه طی سال گذشته بهطور فعال فنها و محمولههای خود را بهروز کرده است.
۸۲۲۰ که از اوایل سال ۲۰۱۷ فعال است[۲]، یک عامل تهدیدکننده استخراج Monero به زبان چینی است که به دلیل ترجیح آن برای برقراری ارتباط با سرورهای فرمان و کنترل (C2) نسبت به پورت ۸۲۲۰ نامگذاری شده است. همچنین این گروه توسعهدهنده ابزاری به نام whatMiner است که توسط گروه جنایات سایبری Rocke در حملات خود استفاده شده است[۳].
در ژوئیه ۲۰۱۹، تیم امنیتی ابری علیبابا تغییری اضافی در تاکتیکهای دشمن را کشف کرد[۴] و به استفاده از روتکیتها برای پنهان کردنِ این برنامهی استخراج اشاره کرد. دو سال بعد، این باند با انواع [۵] باتنت Tsunami IRC و یک ماینر سفارشی “PwnRig” دوباره ظاهر شد[۶].
اکنون طبق گفته مایکروسافت، جدیدترین کمپین که سیستمهای لینوکس i686 و x86_64 را موردحمله قرار میدهد، اکسپلویتهای اجرای کد از راه دور را برای سرور Atlassian Confluence تازه افشاشده (CVE-2022-26134) و Oracle WebLogic (CVE-2019-2725) مشاهده شده است [۷].
این مرحله با بازیابی یک loader دژافزار از یک سرور راه دور که برای حذف ماینر PwnRig و یک ربات IRC طراحی شده است، انجام میشود، اما قبل از آن اقداماتی برای فرار از شناسایی با پاک کردن فایلهای گزارش و غیرفعال کردن نظارت ابری و نرمافزار امنیتی انجام میشود.
مایکروسافت دراینباره گفت: علاوه بر دستیابی به پایداری با استفاده از cron job، از ابزار اسکنر پورت IP masscan برای یافتن سایر سرورهای SSH در شبکه استفاده میکند و سپس از ابزار brute force SSH مبتنی بر GoLang به نام Spirit برای انتشار استفاده میکند.
این یافتهها زمانی به دست آمد که Akamai فاش کرد [۸] که نقص تلاقی Atlassian شاهد ۲۰۰۰۰ تلاش برای بهرهبرداری در روز است که از حدود شش هزار IP راهاندازی میشود، که نسبت به اوج صد هزار IP بلافاصله پس از افشای باگ در ۲ ژوئن ۲۰۲۰ حدود ۲۰۰ درصد کاهش یافته است. گفته میشود که این حملات از ایالاتمتحده آغاز شده است.
Chen Doytshman از Akamai در این هفته گفت: «تجارت ۳۸ درصد از فعالیتهای این حمله را تشکیل میدهد و پسازآن به ترتیب خدمات فناوری پیشرفته و مالی قرار دارند. این سه بیش از ۷۵ درصد از فعالیتها را تشکیل میدهند.
این شرکت امنیت ابری خاطرنشان کرد که این حملات شامل کاوشگرهای آسیبپذیری برای تعیین اینکه آیا سیستم هدف (لینوکس) مستعد تزریق دژافزارهایی مانند پوستههای وب و ماینرهای رمزنگاری است یا خیر، است.
Doytshman افزود: «آنچه بهویژه نگرانکننده است این است که این نوع حمله در چند هفته گذشته چقدر تغییر کرده است. همانطور که با آسیبپذیریهای مشابه دیدیم، این CVE-2022-26134 احتمالاً حداقل تا دو سال آینده مورد بهرهبرداری قرار خواهد گرفت.
منابع
[۱] https://twitter.com/MsftSecIntel/status/1542281805549764608
[۲] https://blog.talosintelligence.com/2018/12/cryptomining-campaigns-2018.html
[۳] https://thehackernews.com/2021/02/new-cryptojacking-malware-targeting.html
[۴] https://www.alibabacloud.com/blog/8220-mining-group-now-uses-rootkit-to-hide-its-miners_595055
[۵] https://en.wikipedia.org/wiki/IRC_bot
[۶] https://www.lacework.com/blog/8220-gangs-recent-use-of-custom-miner-and-botnet
[۷] https://thehackernews.com/2022/06/atlassian-confluence-flaw-being-used-to.html
[۸] https://thehackernews.com/2019/05/ransomware-oracle-weblogic.html
[۹] https://www.akamai.com/blog/security/atlassian-confluence-vulnerability-observations
[۱۰] https://thehackernews.com/2022/06/microsoft-warns-of-cryptomining-malware.html
ثبت ديدگاه