Microsoft-Analyse: Linux-Malware-Kampagne erhält bemerkenswertes Update

Ein Sicherheitsteam von Microsoft hat beobachtet, dass die Malware-Gruppe "8220 Gang" ihre Kampagne signifikant aktualisiert hat. Im Visier: Linux-Systeme.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 101 Beiträge
Aufmacher MS meldet Bemerkenswerte Kampagnenupdates Linux-Malware-Gang

(Bild: Shutterstock)

Von
  • Dirk Knop

Das Microsoft Security Intelligence-Team beobachtet, dass die Cybergang mit dem Namen "8220" ihre Malware-Kampagne deutlich aktualisiert hat. Die Gruppe greift Linux-Systeme an, um dort unter anderem Kryptowährungen zu schürfen. Zudem versuchten die Cyberkriminellen, von kompromittierten Systemen aus weitere Zielsysteme anzugreifen und zu infiltrieren.

Die Cybergang habe im vergangenen Jahr ihre Angriffstechniken und bösartigen Nutzlasten angepasst, erläutern die IT-Sicherheitsforscher auf Twitter. So griff sie in der jüngsten Kampagne i686- und x86_64-Linux-Systeme an und missbrauchte Schwachstellen, die das Ausführen von Schadcode aus dem Netz erlaubten. Insbesondere hätten sie ihre Exploits rasch um welche für die Sicherheitslücke von Anfang Juni dieses Jahres in Atlassians Confluence erweitert (CVE-2022-26134). Aber auch eine bereits mehr als drei Jahre alte Schwachstelle in Oracles WebLogic diene ihnen als Einstieg in verwundbare Systeme (CVE-2019-2725).

Microsofts IT-Forscher berichten, dass die Cyberkriminellen dann einen sogenannten Loader aus dem Netz herunterlädt. Dieser umgehe Erkennungen, indem er Logfiles leerräume und Cloud-Monitoring- und Sicherheitswerkzeuge deaktiviere.

Anschließend lade der Loader den pwnRig Crypto-Miner in Version 1.41.0 herunter sowie einen IRC-Bot, der Befehle von einem Command-and-Control-Server entgegennehme und ausführe. Persistenz erreiche die Malware dadurch, dass sie entweder einen cronjob oder ein Skript als nohup (sodass es nicht beendet wird) alle 60 Sekunden laufen lasse.

Schließlich nutze der Loader den IP Portscanner "masscan", um weitere SSH-Server im Netzwerk aufzuspüren. Auf diese lasse er dann das GoLang-basierte SSH-Bruteforce-Tool "Spirit" los, um sich weiterzuverbreiten. Zudem suche er auf der Platte nach SSH-Keys, um sich weiter über bekannte Hosts lateral durchs Netz zu bewegen.

Die IT-Sicherheitsforscher stellen zu den beobachteten Dateien auch SHA-256-Hashes zur Verfügung, die sogenannten Indicators of Compromise. Anhand der Datei-Hashes können Administratorinnen und Administratoren prüfen, ob ihre Systeme damit kompromittiert wurden.

Datei SHA-256-Hash
Loader Skript bd3c7a55ee04d5713eaf36dfca291533a544b8f58c1e6e30dcd46e3b58bf38e5
PwnRig Miner i686 2bd102ddc0e618d91a7adc3f3fb92fcfb258680f11b904bb129f5f2f918dcc5f
PwnRig Miner x86_64 ca7fb4ee975499b2b1497fb1be69d0187d0a5cf83a2a646ad2855f4e739c8326
IRC-Bot i686 02acdc11b6e22b8fa19ebafb10190ac28a7f0e5ee569a058c2df825337e4447a
IRC-Bot x86_64 0013b356966c3d693b253cdf00c7fdf698890c9b75605be07128cac446904ad9
Spirit 67ef6dce6907d43627a8cb372be6b2b811d4ba7c8e004222ec08226e524cbc24

(dmk)