微软向最近入侵Linux系统并安装加密的恶意软件的8220个恶意软件组发出警告。
微软称,它已经检测到针对Linux服务器安装加密挖掘恶意软件的恶意软件的重大更新。
微软最近召开了所谓的8220帮派组织的会议,最近发现该组织利用了影响Atlassian Confluence Server和数据中心的关键漏洞,編號為CVE-2022-26134。
微软安全情报中心(MicrosoftSecurityIntelligenceCenter)表示:“该组织去年积极更新了其技术和有效负荷。最近的活动针对i686和x86_64Linux系统,它还使用CVE-2022-26134(Confluence)和CVE-2019-2725(WebLogic)的RCE漏洞进行初始访问。
微软警告说:“这些更新包括部署加密矿工和IRC机器人的新版本,以及使用最近披露的漏洞。
Atlassian于6月2日披露了脆弱性,一周内,安全公司Check Point发现,8220个组织正在使用Atlassian漏洞安装恶意软件。该组织还针对使用Atlassian漏洞在PowerShell内存进程中插入脚本的Windows系统。
CISA曾警告联邦机构在6月6日之前修理该产品,并阻止了在此之前对该产品的所有互联网访问。
根据微软的说法,经过8220集团通过CVE-2022-26134的初步查阅,它将载体下载到系统上,更改其配置以拒绝安全服务,下载一个加密矿工,建立网络的弹性,然后扫描端口网络,找到其他服务器。
微软警告管理器允许 Defender for Endpoint更改保护设置,因为负载器将清除日志文件和禁止云监控和安全工具。
从C2服务器.41.9下载 pwnRig暗号化器(v1)和IRC机器人操作命令。它通过 cronjob 或 nohup 或 no hangup 命令,每 60 秒执行一个脚本来创建一个定时任务。因此他们幸存于复活。
微软解释说:“这个载体使用IP端口扫描工具Masscan来搜索网络中的其他SSH服务器,然后,基于GoLang的SSH暴力激进精神被用来传播。它还扫描本地磁盘上的SSH键,通过连接到已知的主机以水平移动。