Das Microsoft Security Intelligence-Team beobachtet, dass die Cybergang mit dem Namen „8220“ ihre Malware-Kampagne deutlich aktualisiert hat. Die Gruppe greift Linux-Systeme an, um dort unter anderem Kryptowährungen zu schürfen. Zudem versuchten die Cyberkriminellen, von kompromittierten Systemen aus weitere Zielsysteme anzugreifen und zu infiltrieren. Die Cybergang habe im vergangenen Jahr ihre Angriffstechniken und bösartigen Nutzlasten angepasst, erläutern die IT-Sicherheitsforscher auf Twitter. So griff sie in der jüngsten Kampagne i686- und x86_64-Linux-Systeme an und missbrauchte Schwachstellen, die das Ausführen von Schadcode aus dem Netz erlaubten. Insbesondere hätten sie ihre Exploits rasch um welche für die Sicherheitslücke von Anfang Juni dieses Jahres in Atlassians Confluence erweitert (CVE-2022-26134). Aber auch eine bereits mehr als drei Jahre alte Schwachstelle in Oracles WebLogic diene ihnen als Einstieg in verwundbare Systeme (CVE-2019-2725). Microsofts IT-Forscher berichten, dass die Cyberkriminellen dann einen sogenannten Loader aus dem Netz herunterlädt. Dieser umgehe Erkennungen, indem er Logfiles leerräume und Cloud-Monitoring- und Sicherheitswerkzeuge deaktiviere. Anschließend lade der Loader den pwnRig Crypto-Miner in Version 1.41.0 herunter sowie einen IRC-Bot, der Befehle von einem Command-and-Control-Server entgegennehme und ausführe. Persistenz erreiche die Malware dadurch, dass sie entweder einen cronjob oder ein Skript als nohup (sodass es nicht beendet wird) alle 60 Sekunden laufen lasse. Schließlich nutze der Loader den IP Portscanner „masscan“, um weitere SSH-Server im Netzwerk aufzuspüren. Auf diese lasse er dann das GoLang-basierte SSH-Bruteforce-Tool „Spirit“ los, um sich weiterzuverbreiten. Zudem suche er auf der Platte nach SSH-Keys, um sich weiter über bekannte Hosts lateral durchs Netz zu bewegen. Die IT-Sicherheitsforscher stellen zu den beobachteten Dateien auch SHA-256-Hashes zur Verfügung, die sogenannten Indicators of Compromise. Anhand der Datei-Hashes können Administratorinnen und Administratoren prüfen, ob ihre Systeme damit kompromittiert wurden.

DateiSHA-256-Hash
Loader Skriptbd3c7a55ee04d5713eaf36dfca291533a544b8f58c1e6e30dcd46e3b58bf38e5
PwnRig Miner i6862bd102ddc0e618d91a7adc3f3fb92fcfb258680f11b904bb129f5f2f918dcc5f
PwnRig Miner x86_64ca7fb4ee975499b2b1497fb1be69d0187d0a5cf83a2a646ad2855f4e739c8326
IRC-Bot i68602acdc11b6e22b8fa19ebafb10190ac28a7f0e5ee569a058c2df825337e4447a
IRC-Bot x86_640013b356966c3d693b253cdf00c7fdf698890c9b75605be07128cac446904ad9
Spirit67ef6dce6907d43627a8cb372be6b2b811d4ba7c8e004222ec08226e524cbc24

Quelle: Heise