Das Microsoft Security Intelligence-Team beobachtet, dass die Cybergang mit dem Namen „8220“ ihre Malware-Kampagne deutlich aktualisiert hat. Die Gruppe greift Linux-Systeme an, um dort unter anderem Kryptowährungen zu schürfen. Zudem versuchten die Cyberkriminellen, von kompromittierten Systemen aus weitere Zielsysteme anzugreifen und zu infiltrieren. Die Cybergang habe im vergangenen Jahr ihre Angriffstechniken und bösartigen Nutzlasten angepasst, erläutern die IT-Sicherheitsforscher auf Twitter. So griff sie in der jüngsten Kampagne i686- und x86_64-Linux-Systeme an und missbrauchte Schwachstellen, die das Ausführen von Schadcode aus dem Netz erlaubten. Insbesondere hätten sie ihre Exploits rasch um welche für die Sicherheitslücke von Anfang Juni dieses Jahres in Atlassians Confluence erweitert (CVE-2022-26134). Aber auch eine bereits mehr als drei Jahre alte Schwachstelle in Oracles WebLogic diene ihnen als Einstieg in verwundbare Systeme (CVE-2019-2725). Microsofts IT-Forscher berichten, dass die Cyberkriminellen dann einen sogenannten Loader aus dem Netz herunterlädt. Dieser umgehe Erkennungen, indem er Logfiles leerräume und Cloud-Monitoring- und Sicherheitswerkzeuge deaktiviere. Anschließend lade der Loader den pwnRig Crypto-Miner in Version 1.41.0 herunter sowie einen IRC-Bot, der Befehle von einem Command-and-Control-Server entgegennehme und ausführe. Persistenz erreiche die Malware dadurch, dass sie entweder einen cronjob oder ein Skript als nohup
(sodass es nicht beendet wird) alle 60 Sekunden laufen lasse. Schließlich nutze der Loader den IP Portscanner „masscan“, um weitere SSH-Server im Netzwerk aufzuspüren. Auf diese lasse er dann das GoLang-basierte SSH-Bruteforce-Tool „Spirit“ los, um sich weiterzuverbreiten. Zudem suche er auf der Platte nach SSH-Keys, um sich weiter über bekannte Hosts lateral durchs Netz zu bewegen. Die IT-Sicherheitsforscher stellen zu den beobachteten Dateien auch SHA-256-Hashes zur Verfügung, die sogenannten Indicators of Compromise. Anhand der Datei-Hashes können Administratorinnen und Administratoren prüfen, ob ihre Systeme damit kompromittiert wurden.
Datei | SHA-256-Hash |
Loader Skript | bd3c7a55ee04d5713eaf36dfca291533a544b8f58c1e6e30dcd46e3b58bf38e5 |
PwnRig Miner i686 | 2bd102ddc0e618d91a7adc3f3fb92fcfb258680f11b904bb129f5f2f918dcc5f |
PwnRig Miner x86_64 | ca7fb4ee975499b2b1497fb1be69d0187d0a5cf83a2a646ad2855f4e739c8326 |
IRC-Bot i686 | 02acdc11b6e22b8fa19ebafb10190ac28a7f0e5ee569a058c2df825337e4447a |
IRC-Bot x86_64 | 0013b356966c3d693b253cdf00c7fdf698890c9b75605be07128cac446904ad9 |
Spirit | 67ef6dce6907d43627a8cb372be6b2b811d4ba7c8e004222ec08226e524cbc24 |