微软警告针对Linux服务器的加密挖掘恶意软件活动

被追踪为8220的一个云威胁参与者组织更新了其恶意软件工具集，以破坏Linux服务器，目标是安装加密矿工，作为长期活动的一部分。

微软安全情报在周四的一系列推文中表示：“更新包括部署新版本的加密采矿器和IRC机器人”。“该集团去年积极更新了其技术和有效载荷”。

8220自2017年初开始活跃，是一家讲中文的Monero采矿威胁公司，因其喜欢通过端口8220与指挥与控制（C2）服务器通信而得名。它还是一个名为whatMiner的工具的开发者，该工具已被Roke网络犯罪组织增选用于他们的攻击。

现在，据微软称，最近一次打击i686和x86_64 Linux系统的运动已被观察到，为新披露的Atlassian Confluence Server（CVE-2022-26134）和Oracle WebLogic（CVE-2019-2725）的初始访问，将远程代码执行利用武器化。

这一步通过从远程服务器检索恶意软件加载程序来实现，远程服务器旨在删除PwnRig miner和IRC机器人，但在采取步骤通过删除日志文件和禁用云监控和安全软件来逃避检测之前是不成功的。

调查结果发布之际，Akamai透露，Atlassian Confluence漏洞每天有稳定的20000次攻击尝试，这些尝试来自约6000个IP，低于2022年6月2日漏洞披露后的100000次峰值。67%的袭击据说来自美国。

Akamai的Chen Doytshman本周表示：“在攻击活动中，商业占主导地位，占38%，其次是高科技和金融服务”。“这三大垂直领域占活动的75%以上”。

这家云安全公司指出，攻击的范围从漏洞探测到确定目标系统是否容易受到网络外壳和加密矿工等恶意软件注入的影响。

“特别令人担忧的是，在过去几周里，这种攻击类型的上升幅度有多大，”Doytshman补充道。“正如我们看到的类似漏洞一样，CVE-2022-26134可能至少在未来几年内继续被利用”。