Группировка 8220 уже давно устанавливает криптомайнеры на Linux-серверы

Группировка 8220 уже давно устанавливает криптомайнеры на Linux-серверы

Группировка 8220 уже давно устанавливает криптомайнеры на Linux-серверы

Специалисты Microsoft обнаружили кампанию киберпреступников, атакующих серверы на Linux и устанавливающие вредоносный криптомайнер. Эта группировка отслеживается под именем 8220, а её активность уходит корнями в 2017 год.

Об атаках 8220 команда Microsoft Security Intelligence сообщила в Twitter:

«Злоумышленники устанавливают новую версию криптомайнера и IRC-бот. Чтобы пробраться на целевые серверы, преступники задействуют эксплойт для недавно выявленной уязвимости».

Кибергруппа 8220 получила своё имя от порта под таким же номером, который используется для связи майнера с командными серверами (C2). Участники группировки, судя по всему, говорят на китайском языке.

Как отметили исследователи из Microsoft, за последний год киберпреступники существенно модернизировали свои подходы и пейлоады. Например, в последней кампании злоумышленники атакуют системы Linux (i686 и x86_64) и используют эксплойт для RCE-уязвимостей CVE-2022-26134 (затрагивает Atlassian Confluence) и CVE-2019-2725 (затрагивает WebLogic).

После того как хакеры пробираются в систему с помощью этих брешей, они устанавливают загрузчик с ресурса jira[.]letmaker[.]top. Вредонос пытается уйти от детектирования, очищая логи и отключая инструменты облачного мониторинга.

Далее загружается криптомайнер pwnRig (версия под номером 1.41.0) и IRC-бот, получающий команды от C2-сервера. Закрепиться в системе зловреду помогает либо задача CronJob, либо скрипт, который запускается каждые 60 секунд.

Microsoft рекомендует организациям максимально защитить серверы, установить все доступные обновления и использовать Microsoft Defender for Endpoint для детектирования киберугрозы.

CURATOR добавил сканер уязвимостей прямо в личный кабинет платформы

Провайдер облачной сетевой инфраструктуры и решений для защиты интернет-ресурсов CURATOR представил новый инструмент CURATOR.SCANNER. Решение предназначено для регулярной проверки внешней инфраструктуры компаний на уязвимости, ошибки конфигурации и потенциальные точки входа для атак.

Продукт разработан в рамках технологического сотрудничества с ИБ-компанией Alpha Systems и встроен прямо в личный кабинет платформы CURATOR. Отдельно устанавливать дополнительное ПО не нужно.

Работает всё довольно просто: пользователь указывает объект проверки — домен, IP-адрес, диапазон адресов или веб-приложение — выбирает шаблон сканирования и запускает проверку из интерфейса платформы.

CURATOR.SCANNER умеет выявлять открытые сетевые сервисы, определять версии установленного ПО, сопоставлять их с базами известных уязвимостей, находить ошибки конфигурации и распространенные веб-риски. Среди поддерживаемых проверок — активное сканирование, обнаружение веб-компонентов, анализ веб-приложений и поиск уязвимостей вроде SQL Injection.

Также инструмент может определять наличие WAF и учитывать особенности его работы при проверке веб-приложений. Это важно, потому что сканирование защищенного ресурса без понимания работы фильтров часто дает неполную или искаженную картину.

В CURATOR отмечают, что многие успешные атаки начинаются с эксплуатации конкретной уязвимости на внешнем периметре. При этом компании либо проверяют его нерегулярно, либо используют отдельные инструменты, которые требуют внедрения, настройки и сопровождения.

С запуском CURATOR.SCANNER клиенты платформы получают возможность проверять внешний периметр в том же контуре, где уже управляют защитой доступности, DDoS-фильтрацией и безопасностью веб-ресурсов.

По сути, CURATOR пытается собрать в одном интерфейсе не только защиту от атак, но и регулярный поиск слабых мест до того, как ими заинтересуются злоумышленники.

RSS: Новости на портале Anti-Malware.ru