Av många hotaktörer som utnyttjar Confluence zero-day buggen, CheckPoint-forskare har noterat en grupp som heter 8220-gänget, som installerar kryptogruvarbetare för att bryta kryptovalutor.
De riktar in sig på både Linux- och Windows-datorerna med sin skadlig programvara för gruvdrift och förbrukar alla resurser på sårbara Confluence-servrar tills de rycks upp med rötterna. För att undvika detta rådde tillverkaren av Confluence – Atlassian användare att tillämpa uppdateringen av patch som gjordes tillgänglig för en vecka sedan.
Utnyttjar Confluence Zero-Day Bug
I slutet av förra månaden hittade forskare en ny noll-dagars säkerhetssårbarhet i Atlassians Confluence – ett samarbetsverktyg som används av företag för att hantera arbete och kommunikation. Spåras som CVE-2022-26134flera proof-of-concept-utnyttjningar för denna bugg släpptes strax efter.
Detta ledde till att många hotaktörer bröt mot sårbara Confluence-servrar runt om i världen, där de flesta skapade nya administratörskonton, installerade webbskal och körde fjärrkommandon för att i slutändan ta kontroll över de utnyttjade servrarna.
Men forskare vid CheckPoint har upptäckt en ny hotaktör vid namn “8220-gänget”, som har utnyttjat denna bugg för att bryta kryptovalutor. Enligt deras anteckning startar hackergruppen sin kampanj genom att skicka en specialgjord HTTP-förfrågan till den sårbara Confluence-servern, oavsett om det är Linux eller Windows.
Det här skriptet utnyttjar felet för att släppa en base64-kodad nyttolast, som i sin tur hämtar en körbar fil – ett skript för skadlig programvara på Linux och en underordnad process spawner på Windows. I båda fallen syftar dessa körbara filer till att uppnå en omstartsbeständighet genom cron-jobb eller startmappar.
Dessutom avinstallerar de alla aktiva agenter och aktiverar sedan gruvarbetaren för att starta präglingsprocessen. Kryptominering på lång sikt (eller på kort sikt om den är så hård) skulle resultera i snabbare hårdvaruförslitning, minskad serverprestanda och till och med verksamhetsstopp.
Äntligen sägs Linux-skriptet till och med leta efter SSH-nycklar för att kapa och slå samman andra system i nätverket. AVid sidan av detta är det få andra Linux-botnät som Kinsing, Hezb och Dark.IoT som också utnyttjar detta nolldagsfel för att distribuera bakdörrar och kryptogruvarbetare, säg, forskare.
För att undvika detta måste utvecklaren eller den infekterade Confluence-sviten, Atlassian, släppt en patch den 3 juni 2022 och rådde användarna att tillämpa det så snart som möjligt.
