这个云僵尸网络劫持了30000个系统来挖掘加密货币

这个8220加密挖掘组从2021中期全球2000名受感染者扩大到30000名受感染者。

据说，Linux和常见云应用程序漏洞的使用以及Docker、Apache WebLogic和Redis等服务的安全性较差的配置，推动了这一增长。

自2017年初以来，这家中文Monero mining threat actor一直处于活跃状态。最近，该公司将最近针对Atlassian Confluence Server（CVE-2022-26134）的远程代码执行漏洞武器化，以丢弃PwnRig miner负载，从而瞄准i686和x86_64 Linux系统。

除了执行PwnRig cryptocurrency miner之外，感染脚本还设计用于删除云安全工具，并通过450个硬编码凭据列表执行SSH暴力强制，以进一步在网络中横向传播。

该脚本的较新版本还使用了阻止列表，以避免损害特定主机，例如可能标记其非法行为的蜜罐服务器。

基于开源Monero miner XMRig的PwnRig cryptominer也收到了自己的更新，使用了一个假冒的FBI子域，其IP地址指向合法的巴西联邦政府域，以创建恶意池请求，并掩盖了生成资金的真实目的地。

这些行动的增加也被视为是为了抵消加密货币价格下跌的影响，更不用说突显了一场从竞争的以加密盗取为重点的团体手中夺取受害者系统控制权的激烈“战斗”。

黑格尔总结道：“在过去几年里，8220帮派慢慢发展出了他们简单但有效的Linux感染脚本，以扩展僵尸网络和非法加密货币矿工”。“该组织在最近几周做出了改变，将僵尸网络扩展到全球近30000名受害者”。

来源：真相只有一个

原文链接：https://www.hake.cc/page/article/4435.html