Aviso da Microsoft: este malware direcionado ao Linux acaba de receber uma grande atualização
A Microsoft alerta sobre o trabalho recente da gangue de malware ‘8220’ para comprometer sistemas Linux e instalar malware de criptografia.
A Microsoft diz que detectou “atualizações notáveis” em malware direcionado a servidores Linux para instalar malware criptominerador.
A Microsoft destacou o trabalho recente do chamado grupo “8220 gang”, que foi recentemente descoberto explorando o bug crítico que afeta o Atlassian Confluence Server e Data Center, rastreado como CVE-2022-26134.
"O grupo atualizou ativamente suas técnicas e cargas úteis no último ano. A campanha mais recente tem como alvo sistemas Linux i686 e x86_64 e usa explorações RCE para CVE-2022-26134 (Confluence) e CVE-2019-2725 (WebLogic) para acesso inicial ”, observa o Centro de Inteligência de Segurança da Microsoft.
VEJA: A computação em nuvem domina. Mas a segurança é agora o maior desafio
“As atualizações incluem a implantação de novas versões de um criptominerador e um bot de IRC, bem como o uso de uma exploração para uma vulnerabilidade recentemente divulgada”, alertou a Microsoft.
A Atlassian divulgou o bug em 2 de junho e, em uma semana, a empresa de segurança Check Point descobriu que a gangue 8220 estava usando a falha da Atlassian para instalar malware em sistemas Linux. O grupo também tinha como alvo os sistemas Windows que usavam a falha Atlassian para injetar um script em um processo de memória do PowerShell.
A CISA já havia alertado as agências federais para corrigi-lo até 6 de junho e até então bloquear todo o acesso ao produto pela Internet.
A gangue 8220 está ativa desde 2017, de acordo com o grupo Talos Intelligence da Cisco, que a descreveu como um ator ameaçador de mineração de Monero, de língua chinesa, cujos C2s frequentemente se comunicam pela porta 8220, ganhando assim seu nome. Nesse estágio, eles tinham como alvo as vulnerabilidades de imagem do Apache Struts2 e Docker para comprometer os servidores corporativos.
Segundo a Microsoft, após a gangue 8220 obter acesso inicial via CVE-2022-26134, ela baixa um carregador para o sistema que altera suas configurações para desabilitar serviços de segurança, baixa um criptominerador, estabelece persistência em uma rede e, em seguida, verifica as portas no rede para encontrar outros servidores.
VEJA: Por que devemos nos preocupar com criptomoedas? O argumento comercial para uma análise mais detalhada
A Microsoft alerta os administradores para habilitarem as configurações de proteção contra adulteração do Defender for Endpoint porque o carregador limpa os arquivos de log e desabilita o monitoramento da nuvem e as ferramentas de segurança.
O carregador baixa o criptominerador pwnRig (v1.41.9) e um bot IRC executa comandos de um servidor C2. Ele sobrevive a uma reinicialização criando tarefas de agendamento por meio de um cronjob ou de um script executado a cada 60 segundos como um comando nohup ou "no hangup".
"O carregador usa a ferramenta de varredura de porta IP" masscan "para encontrar outros servidores SSH na rede e, em seguida, usa a ferramenta de força bruta SSH baseada em GoLang" espírito "para se propagar. Ele também verifica o disco local em busca de chaves SSH para se mover lateralmente conectando-se a hosts conhecidos", explica a Microsoft.