8220 çetesi olarak bilinen bir kriptomin çetesi, botnet'lerini 30.000'den fazla enfekte edilmiş ana bilgisayara büyütmek için Linux ve Cloud App güvenlik açıklarından yararlanıyor.
Grup, Docker, Redis, Confluence ve Apache'nin savunmasız sürümlerini çalıştıran halka açık sistemleri hedefledikten sonra AWS, Azure, GCP, Alitun ve QCLOUD ev sahiplerini enfekte eden düşük vasıflı, finansal olarak motive edilmiş bir aktördür.
Bu çetenin önceki saldırıları, Confluence sunucularından ödün vermek için halka açık bir sömürüye dayanıyordu.
Erişim kazandıktan sonra, saldırganlar daha fazla yayılmak için SSH kaba zorlama kullanıyor ve izlenemez havuzlara işaret eden kriptominerleri çalıştırmak için mevcut hesaplama kaynaklarını ele geçiriyor.
8220 çete en az 2017'den beri aktiftir ve özellikle sofistike olarak kabul edilmez, ancak enfeksiyon sayılarındaki ani patlama, bu alt katmanlı aktörlerin hedeflerine adanmış olduklarında hala ne kadar tehlikeli ve etkili olabileceğinin altını çizmektedir.
Sentinellabs tarafından gözlemlenen ve analiz edilen en son kampanyada, 8220 çete, özel tespit kaçırma mekanizmalarından yoksun olmasına rağmen yeterince gizli olan bir kod parçası olan botnet'lerini genişletmek için kullanılan senaryolara yeni şeyler ekledi.
Geçen ayın sonlarından itibaren grup, geniş bir Linux cihaz ve uygulamaya karşılık gelen 450 sert kodlanmış kimlik bilgileri içeren SSH Brute Zorlama Step'in yönetimi için özel bir dosya kullanmaya başladı.
Başka bir güncelleme, komut dosyasında, çoğunlukla güvenlik araştırmacıları tarafından kurulan balkotlar hakkında enfeksiyonlardan belirli ana bilgisayarları hariç tutmak için blok listelerinin kullanılmasıdır.
Son olarak, 8220 Gang artık özel kriptominer Pwnrig'in açık kaynaklı Monero madenci XMRIG'ye dayanan yeni bir versiyonunu kullanıyor.
Pwnrig'in en son sürümünde, madenci sahte bir havuz isteği oluşturmak ve üretilen paranın gerçek varış noktasını gizlemek için Brezilya federal hükümet alanına işaret eden bir IP adresi ile sahte bir FBI alt alanını kullanır.
Düşen kripto para birimi fiyatları, kriptaj aktörlerini aynı kârları koruyabilmeleri için operasyonlarını ölçeklendirmeye zorluyor. Özellikle Monero, son altı ay boyunca değerinin% 20'sinden fazlasını kaybetti.
Azalan kripto fiyatlarının, kriptajı tehdit aktörleri için daha az çekici hale getirmesi bekleniyor. Ancak, bol miktarda tehdit aktörleri için bir gelir kaynağı olmaya devam edecektir.
Bilgisayar korsanları, kriptominasyon için son zamanlarda yamalı Confluence hatasını sömürüyor
Kaynak: Bleeping Computer