這個云僵尸網絡已經劫持了 30,000 個系統來挖掘加密貨幣
8220 加密采礦組的規模已從 2021 年年中的全球 2,000 臺主機擴大到多達 30,000 臺受感染主機。
SentinelOne 的 Tom Hegel在周一的一份報告中說: “8220 Gang 是我們不斷觀察到的眾多低技能犯罪軟件團伙之一,他們通過已知漏洞和遠程訪問暴力強制感染媒介感染云主機并操作僵尸網絡和加密貨幣礦工。”
據說,這種增長是通過使用 Linux 和常見的云應用程序漏洞以及 Docker、Apache WebLogic 和 Redis 等服務的安全性差的配置而推動的。
自 2017 年初以來一直活躍,這個講中文的 Monero 挖礦威脅參與者最近被發現通過武器化最近的 Atlassian Confluence Server (CVE-2022-26134) 遠程代碼執行漏洞來攻擊 i686 和 x86_64 Linux 系統,以放棄 PwnRig礦工有效載荷。
“受害者不是地理上的目標,而只是通過他們的互聯網可訪問性來識別,”黑格爾指出。
除了執行 PwnRig 加密貨幣礦工之外,感染腳本還旨在刪除云安全工具,并通過 450 個硬編碼憑證列表執行 SSH 暴力破解,以進一步在網絡中橫向傳播。
該腳本的較新版本還使用阻止列表來避免損害特定主機,例如可能標記其非法行為的蜜罐服務器。
基于開源門羅幣礦工 XMRig 的 PwnRig 加密礦工也收到了自己的更新,它使用一個虛假的 FBI 子域,其 IP 地址指向一個合法的巴西聯邦政府域,以創建一個流氓池請求并掩蓋產生的錢的真正目的地。
行動的增加也被視為抵消加密貨幣價格下跌的嘗試,更不用說強調從競爭的以加密劫持為重點的團體控制受害系統的“戰斗”加劇。
“在過去的幾年里,8220 Gang 慢慢地發展了他們簡單但有效的 Linux 感染腳本,以擴展僵尸網絡和非法加密貨幣礦工,”黑格爾總結道。“該組織在最近幾周做出了改變,將僵尸網絡擴展到全球近 30,000 名受害者。”
