微软警告新的Linux服务器恶意软件攻击

关键要点

• 微软报告称，中文黑客团伙8220更新了针对Linux服务器的加密货币挖矿恶意软件活动。
• 攻击者利用RCE漏洞（特别是针对Atlassian Confluence的CVE-2022-26134和WebLogic的CVE-2019-2725）进行首次入侵。
• 新版本的pwnRig加密货币挖矿工具和IRC机器人被用于最新的攻击。
• 一种加载器被用来修改配置，从而停用安全服务、下载加密挖矿工具并维持网络持久性。

微软最近发出警告，称中文黑客团伙8220已经更新了其恶意软件活动，目标是感染Linux服务器以进行加密货币挖矿。根据ZDNet的报道，除了利用针对AtlassianConfluence Server和DataCenter漏洞的远程代码执行（RCE）漏洞（跟踪编号为CVE-2022-26134），以及WebLogic漏洞（跟踪编号为CVE-2019-2725）来获取初始访问权限外，此次最新的攻击活动还涉及新的pwnRig加密货币挖矿工具和IRC机器人。

报告还指出，攻击者正在下载一种加载器，进行配置更改，以便于停用安全服务、下载加密矿工和维持网络连接。微软表示：“该加载器使用IP端口扫描工具’masscan’来寻找网络中的其他SSH服务器，然后利用GoLang构建的SSH暴力破解工具’spirit’进行传播。它还会扫描本地磁盘以寻找SSH密钥，从而通过连接已知主机实现横向移动。”为了遏制此类攻击，微软建议开启Defenderfor Endpoint的篡改保护设置。

相关链接

漏洞 | 描述 | 跟踪编号
—|—|—
Atlassian Confluence | 远程代码执行漏洞 | CVE-2022-26134
WebLogic | 初始访问漏洞 | CVE-2019-2725

通过加强安全措施，企业和用户可以更好地保护自己免受这类攻击的侵害。