近期,一个名为8220组织的加密采矿团伙利用Linux和云应用程序漏洞将其僵尸网络扩大至30,000多台受感染的主机。该组织的技术并不高,但经济动机强,他们针对运行Docker、Redis、Confluence和Apache漏洞版本的公开系统,感染AWS、Azure、GCP、Alitun和QCloud等主机。该团伙以前的攻击依赖于公开可用的漏洞利用来破坏 Confluence 服务器。
在获得访问权限后,攻击者使用SSH暴力破解进一步传播并劫持可用的计算资源来运行指向无法追踪的加密矿工。
8220组织至少从2017年开始就活跃起来,起先其并没有获得多大的关注,但在一系列的大量感染案例之后,人们才发现忽视这些级别较低的威胁参与者是多么不明智,并且他们同样能给网络安全带来较大的威胁。
在SentinelLabs研究人员观察和分析的最新活动中, 8220组织在用于扩展其僵尸网络的脚本中添加了新内容,尽管缺乏专门的检测规避机制,但这段代码仍具有足够的隐蔽性。从上月底开始,该组织开始使用专用文件来管理SSH暴力破解步骤,其中包含450个硬编码凭证,对应于广泛的Linux设备和应用程序。另一个更新是在脚本中使用阻止列表来排除特定主机的感染,主要涉及安全研究人员设置的蜜罐。最后,8220组织现在使用其自定义加密矿工PwnRig的新版本,它基于开源门罗矿工XMRig。
在最新版本的PwnRig中,矿工使用伪造的FBI子域,其IP地址指向巴西联邦政府域,以创建伪造的矿池请求并掩盖所产生资金的真实目的地。加密货币价格的下跌迫使加密劫持者扩大其业务规模,以便他们能够保持相同的利润。尤其是门罗币,在过去六个月中已经损失了超过 20% 的价值。预计不断下降的加密货币价格将使加密劫持对威胁参与者的吸引力降低。但是,它将继续成为许多威胁参与者的收入来源。