Вредоносные криптомайнеры нашли на серверах Linux

Атаки на сервера Linux с последующей установкой на них вредоносных криптомайнеров осуществляет группировка 8220. К такому выводу пришла команда Microsoft Security Intelligence, которая уточнила, что впервые деятельность группы обнаружили в 2017 году.

За прошедшие с тех пор годы киберзлоумышленники существенно модернизировали свой подход. Теперь они используют IRC-бот и устанавливают обновленную версию майнера. Для его инсталляции используются недавно выявленные уязвимости. Сейчас 8220 преимущественно использует эксплойты для уязвимостей CVE-2022-26134 и CVE-2019-2725. Последние позволяют установить с ресурса jira[.]letmaker[.]top загрузчик майнера.

Сам криптомайнер называется pwnRig. Для его закрепления в системе используется задача CronJob или специальный скрипт с интервалом запуска в 60 секунд.

В Microsoft порекомендовали организациям усилить защиту серверов, а также своевременно устанавливать необходимые обновления.