Header Ads Widget

Servidores de confluencia vulnerables explotados para criptominería

 

criptominería
criptominería

De los muchos actores de amenazas que explotan el error de día cero de Confluence, los investigadores de CheckPoint han notado un grupo llamado 8220 gang, que está instalando criptomineros para extraer criptomonedas.

Apuntan tanto a las máquinas Linux como a las Windows con su malware de minería y agotan todos los recursos de los servidores vulnerables de Confluence hasta que son eliminados. Para evitar esto, el creador de Confluence – Atlassian, aconsejó a los usuarios que aplicaran la actualización del parche que estuvo disponible hace una semana.

Explotación del error de día cero de la confluencia

A fines del mes pasado, los investigadores encontraron una nueva vulnerabilidad de seguridad de día cero en Confluence de Atlassian, una herramienta de colaboración utilizada por las empresas para administrar el trabajo y las comunicaciones. Rastreado como CVE-2022-26134 , varios exploits de prueba de concepto para este error se lanzaron poco después.

Esto llevó a muchos actores de amenazas a aprovecharse de los servidores vulnerables de Confluence en todo el mundo, y la mayoría creó nuevas cuentas de administrador, instaló shells web y ejecutó comandos remotos para finalmente tomar el control de los servidores explotados.

Pero los investigadores de CheckPoint han detectado un nuevo actor de amenazas llamado "pandilla 8220", que ha estado explotando este error para extraer criptomonedas. Según su nota, el grupo de piratas informáticos comienza su campaña enviando una solicitud HTTP especialmente diseñada al servidor vulnerable de Confluence, ya sea Linux o Windows.

Este script explota el error para soltar una carga útil codificada en base64, que a su vez obtiene un ejecutable: un script de cuentagotas de malware en Linux y un generador de procesos secundarios en Windows. En ambos casos, estos ejecutables tienen como objetivo lograr una persistencia de reinicio a través de trabajos cron o carpetas de inicio.

Además, desinstalan todos los agentes en ejecución y luego activan el minero para iniciar el proceso de acuñación. La criptominería a largo plazo (o a corto plazo si es tan dura) daría como resultado un desgaste más rápido del hardware, un rendimiento reducido del servidor e incluso actividades de interrupción del negocio.

Por fin, incluso se dice que el script de Linux está buscando claves SSH para secuestrar y agrupar otros sistemas en la red. Aparte de esto, algunas otras redes de bots de Linux como Kinsing, Hezb y Dark.IoT también están explotando este error de día cero para implementar puertas traseras y criptomineros, dicen los investigadores.

Para evitar esto, el desarrollador o la suite Confluence infectada, Atlassian, lanzó un parche el 3 de junio de 2022 y aconsejó a los usuarios que lo aplicaran lo antes posible.

Publicar un comentario

0 Comentarios