近日,一个名为8220的加密挖矿团伙利用Linux和云应用漏洞,将其僵尸网络扩大到3万多台主机。组织技术不高,但经济动力强。它们以运行易受攻击版本的Docker、Redis、Confluence和Apache的公共系统为目标,并感染AWS、Azure、GCP、Alitun和QCloud等主机。该组织之前的攻击依赖于公开可用的漏洞来破坏Confluence服务器。获得访问权限后,攻击者使用SSH暴力进一步传播并劫持可用计算资源以运行点对点无法追踪的加密矿工。8220组至少从2017年开始活跃,一开始并没有引起太多关注,但在一系列大量感染之后,人们意识到忽视这些低级威胁者是多么不明智,他们也会对网络安全造成更大的威胁。在SentinelLabs研究人员观察和分析的最新活动中,8220组织向用于扩展其僵尸网络的脚本添加了新内容。尽管缺乏专门的检测规避机制,但这段代码仍然足够隐蔽。从上月底开始,该组织开始使用一个专用文件来管理SSH暴力破解步骤,其中包含450个硬编码凭证,对应于各种Linux设备和应用程序。另一个更新是在脚本中使用黑名单来排除特定主机的感染,主要涉及安全研究人员设置的蜜罐。最后,8220组织现在正在使用其自定义加密矿机PwnRig的新版本,该版本基于开源Monero矿机XMRig。在最新版本的PwnRig中,矿工使用了一个假的FBI子域,其IP地址指向巴西联邦政府域,以创建假的矿池请求并伪装所产生资金的真实目的地。加密货币价格的下跌迫使加密货币劫持者扩大业务规模,以便他们能够保持相同的利润。尤其是门罗币,在过去六个月中损失了超过20%的价值。预计加密货币价格下跌将使加密货币劫持对威胁行为者的吸引力降低。然而,它将继续成为许多威胁行为者的收入来源。参考来源:https://www.bleepingcomputer.com/news/security/hacking-group-8220-grows-cloud-botnet-to-more-than-30-000-hosts/
