A Microsoft afirma ter detectado “atualizações notáveis” em um malware que tem servidores do Linux como alvo. Segundo a empresa americana, o objetivo do vírus é instalar um criptominerador na máquina infectada.

As atividades da “gangue 8220”, como a Microsoft intitula os agressores, foram descobertas a partir de um bug crítico que afeta o Confluence Server e o Data Center, softwares de gestão de projetos produzidos pela empresa australiana Atlassian. O erro foi rastreado como CVE-2022-26134.

publicidade

“O grupo [gangue 8220] atualizou ativamente suas técnicas e cargas úteis no último ano. A campanha mais recente tem como alvo os sistemas Linux i686 e x86_64 e usa exploits RCE para CVE-2022-26134 (Confluence) e CVE-2019-2725 (WebLogic) para acesso inicial”, observa o Centro de Inteligência de Segurança da Microsoft, em tuíte publicado na última quarta-feira (29).

“As atualizações incluem a implantação de novas versões de um criptominerador e um bot de IRC [sistema de bate-papo], bem como o uso de um exploit para vulnerabilidade divulgada recentemente.”

A Atlassian divulgou o bug no último dia 2 de junho. Pouco depois, a empresa de cibersegurança Check Point descobriu que a gangue 8220 usava a falha para instalar o malware de criptomineração em sistemas Linux. O grupo também visava sistemas Windows usando a falha para injetar um script malicioso no PowerShell.

A Cisa, agência de cibersegurança dos Estados Unidos, já havia alertado os órgãos federais para corrigir o bug até o dia 6 e, em seguida, bloquear todo o acesso à internet ao produto.

Leia mais:

Gangue 8220

Ativa desde 2017, a “gangue 8220” é descrita pelo grupo Talos Intelligence, da Cisco, como um agente de ameaças de mineração de Monero (XMR). Seus comandos de controle se comunicam pela porta TCP 8220 — por isso o nome — em mandarim padrão.

Para efetuar suas operações maliciosas, o grupo procura vulnerabilidades de imagem para comprometer servidores corporativos. Segundo a Microsoft, após a obtenção do acesso por meio do erro no Confluence, o malware baixa um loader no Linux que altera suas configurações para desabilitar serviços de segurança. Na sequência, o criptominerador é instalado, enquanto estabelece persistência na rede e verifica portas para encontrar outros servidores.

A Microsoft avisa os administradores para habilitar as configurações de proteção contra adulteração do Defender para Ponto de Extremidade, porque o loader limpa os arquivos de log e desabilita o monitoramento de nuvem e as ferramentas de segurança.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!