El equipo de inteligencia de seguridad de Microsoft emitió una nueva advertencia contra un conocido grupo de actores de amenazas (TA) en la nube.
Rastreado como 8220 y activo desde principios de 2017, el grupo ahora habría actualizado su conjunto de herramientas de malware para violar los servidores Linux con el fin de instalar criptomineros como parte de una campaña de larga duración.
“Las actualizaciones incluyen el despliegue de nuevas versiones de un criptominero y un bot de IRC, así como el uso de un exploit para una vulnerabilidad recientemente revelada”, escribió el gigante tecnológico en un hilo de Twitter.
“El grupo ha actualizado activamente sus técnicas y cargas útiles durante el último año”.
Según Microsoft, la campaña más reciente ahora se dirige a los sistemas Linux i686 y x86_64 y utiliza exploits RCE para CVE-2022-26134 (Atlassian Confluence Server) y CVE-2019-2725 (Oracle WebLogic) para el acceso inicial.
“Después del acceso inicial, se descarga un payload”, explicaron los expertos en seguridad. “Este payload evade la detección al borrar los archivos de registro y deshabilitar las herramientas de seguridad y monitoreo en la nube. Las capacidades de protección contra manipulaciones en Microsoft Defender para Endpoint ayudan a proteger la configuración de seguridad”.
El payload luego descargaría el pwnRig crpytominer y un bot de IRC que ejecuta comandos desde un servidor de comando y control (C2). Luego mantendría la persistencia creando un cronjob o un script que se ejecuta cada 60 segundos como nohup.
Según Microsoft, el malware también presenta capacidades de autopropagación.
“El payload usa la herramienta de escaneo de puertos IP ‘masscan’ para encontrar otros servidores SSH en la red y luego usa la herramienta de fuerza bruta SSH basada en GoLang ‘spirit’ para propagarse. También escanea el disco local en busca de claves SSH para moverse lateralmente al conectarse a hosts conocidos”.
Para proteger las redes contra esta amenaza, Microsoft dijo que las organizaciones deben asegurar los sistemas y servidores, aplicar actualizaciones y usar una buena higiene de credenciales.
“Microsoft Defender para Endpoint en Linux detecta comportamientos maliciosos y cargas útiles relacionadas con esta campaña”.
La noticia llega días después de que Akamai sugiriera que la falla de Atlassian Confluence actualmente está presenciando 20,000 intentos de explotación por día, lanzados desde aproximadamente 6,000 IP. Por contexto, el número representa una disminución sustancial en comparación con el pico de 100 000 que la empresa presenció tras la divulgación de la vulnerabilidad el 2 de junio de 2022.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.