Home IT Sicherheits Updates Dieses Cloud-Botnet hat 30.000 Systeme entführt, um Kryptowährungen zu schürfen

Dieses Cloud-Botnet hat 30.000 Systeme entführt, um Kryptowährungen zu schürfen

by nwna_de

Das 8220 Cryptomining-Gruppe hat sich auf bis zu 30.000 infizierte Hosts ausgedehnt, gegenüber 2.000 Hosts weltweit Mitte 2021.

„8220 Gang ist eine der vielen Kriminalität-Gangs mit geringen Fähigkeiten, die wir ständig beobachten, wie sie Cloud-Hosts infizieren und ein Botnet und Kryptowährungsschürfer durch bekannte Schwachstellen und Brute-Forcing-Infektionsvektoren für den Fernzugriff betreiben“, Tom Hegel von SentinelOne sagte in einem Montagsbericht.

Das Wachstum soll durch die Verwendung von Schwachstellen in Linux und gängigen Cloud-Anwendungen sowie schlecht gesicherte Konfigurationen für Dienste wie Docker, Apache WebLogic und Redis angeheizt worden sein.

Internet-Sicherheit

Der seit Anfang 2017 aktive chinesischsprachige Monero-Mining-Bedrohungsakteur wurde zuletzt dabei beobachtet, wie er auf i686- und x86_64-Linux-Systeme abzielte, indem er einen neu aufgedeckten Remote-Code-Execution-Exploit für Atlassian Confluence Server (CVE-2022-26134) als Waffe nutzte, um den zu löschen PwnRig-Miner-Nutzlast.

„Opfer werden nicht geografisch anvisiert, sondern einfach anhand ihrer Internet-Erreichbarkeit identifiziert“, betonte Hegel.

Miner für Kryptowährungen

Neben der Ausführung des PwnRig-Kryptowährungsminers ist das Infektionsskript auch darauf ausgelegt, Cloud-Sicherheitstools zu entfernen und SSH-Brute-Forcing über eine Liste von 450 fest codierten Anmeldeinformationen durchzuführen, um sich seitlich über das Netzwerk weiter auszubreiten.

Die neueren Versionen des Skripts sind auch dafür bekannt, Sperrlisten zu verwenden, um zu vermeiden, dass bestimmte Hosts kompromittiert werden, wie z. B. Honeypot-Server, die ihre illegalen Bemühungen kennzeichnen könnten.

Internet-Sicherheit

Der PwnRig-Kryptominer, der auf dem Open-Source-Monero-Miner XMRig basiert, hat ebenfalls eigene Updates erhalten, indem er eine gefälschte FBI-Subdomain mit einer IP-Adresse verwendet, die auf eine legitime Domain der brasilianischen Bundesregierung verweist, um einen Schurken zu erstellen Schwimmbad anfordern und den wahren Bestimmungsort des generierten Geldes verschleiern.

Das Hochfahren der Operationen wird auch als Versuch angesehen, fallende Preise von Kryptowährungen auszugleichen, ganz zu schweigen von einem verschärften „Kampf“ um die Kontrolle über Opfersysteme von konkurrierenden Gruppen, die sich auf Kryptojacking konzentrieren.

„In den letzten Jahren hat 8220 Gang seine einfachen, aber effektiven Linux-Infektionsskripte langsam weiterentwickelt, um ein Botnetz und einen illegalen Kryptowährungsschürfer zu erweitern“, schloss Hegel. „Die Gruppe hat in den letzten Wochen Änderungen vorgenommen, um das Botnet auf fast 30.000 Opfer weltweit auszudehnen.“

Via HN