Một nhóm tác nhân đe dọa đám mây (được theo dõi là 8220) đã cập nhật bộ công cụ hỗ trợ tấn công của mình để tấn công các máy chủ Linux với mục tiêu phát tán ransomware.
Microsoft Security Intelligence cho biết: “các bản cập nhật bao gồm việc update phiên bản mới của công cụ khai thác và một bot IRC. Nhóm đã tích cực cập nhật các kỹ thuật và tải trọng của mình trong năm qua”
8220, hoạt động từ đầu 2017, được đặt tên như vậy vì thường kết nối đến máy chủ C&C qua port 8220. Đây cũng là nhóm nhà phát triển của công cụ khai thác mang tên whatMiner đã được nhóm tội phạm mạng Rocke sử dụng trong các cuộc tấn công.
Tháng 7/2019, nhóm bảo mật đám mây của Alibaba đã phát hiện một thay đổi bổ sung trong chiến thuật của đối thủ, sử dụng rootkit để che giấu các chương trình khai thác. Hai năm sau, băng nhóm này nổi lên với các biến thể botnet Tsunami IRC và một công cụ khai thác “PwnRig” tùy chỉnh.
Theo Microsoft, chiến dịch gần đây nhất tấn công các hệ thống Linux i686 và x86_64 đã khai thác lỗ hổng thực thi mã từ xa đối vói Atlassian Confluence Server (CVE-2022-26134) và Oracle WebLogic (CVE-2019-2725).
Bước này khai thác thành công nhờ việc sử dụng chương trình tải các phần mềm độc hại từ máy chủ từ xa để phát tán các công cụ tấn công PwnRig và bot IRC. Bên cạnh việc cron, ‘chương trình này còn sử dụng công cụ Scan IP ‘masscan’ để tìm kiếm máy chủ SSH khác trong mạng nhằm tấn công brute force SSH dựa trên GoLang’, Microsoft cho biết.
Phát hiện được đưa ra khi Akamai tiết lộ rằng lỗ hổng Atlassian Confluence đang bị khai thác khoảng 20.000 lần mỗi ngày từ 6.000 IP, giảm từ 100.000 lần sau khi công bố lỗi vào 2/6/2022, 67% các cuộc tấn công đươcj cho là bắt nguồn từ Mỹ.
Chen Doytshman, chuyên gia Akamai, cho biết: “hoạt đọng thương mại bị nhắm mục tiêu nhiều nhất, chiếm 38% các hoạt động tấn công. Tiếp theo đó là các dịch vụ tài chính và công nghệ cao. Cả ba ngành này chiếm 75% hoạt động tấn công, các ngành khác chiếm số còn lại.”
Các cuộc tấn công được thực hiện gồm các cuộc thăm dò lỗ hổng để xác định xem hệ thống mục tiêu có dễ bị nhiễm các phần mềm độc hại như webshell và các ransomware hay không.
Doytshman cũng cho biết thêm: “Điều đặc biệt đáng quan tâm là mức độ thay đổi của loại hình tấn công này trong vài tuần qua. Như chúng ta đã thấy với các lỗ hổng tương tự, CVE-2022-26134 này có thể sẽ tiếp tục bị khai thác trong ít nhất vài năm tới.”
Theo https://thehackernews.com/