近期，一個名為8220組織的加密采礦團伙利用Linux和云應(yīng)用程序漏洞將其僵尸網(wǎng)絡(luò)擴大至30,000多臺受感染的主機。該組織的技術(shù)并不高，但經(jīng)濟動機強，他們針對運行Docker、Redis、Confluence和Apache漏洞版本的公開系統(tǒng)，感染AWS、Azure、GCP、Alitun和QCloud等主機。該團伙以前的攻擊依賴于公開可用的漏洞利用來破壞 Confluence 服務(wù)器。

在獲得訪問權(quán)限后，攻擊者使用SSH暴力破解進一步傳播并劫持可用的計算資源來運行指向無法追蹤的加密礦工。

8220組織至少從2017年開始就活躍起來，起先其并沒有獲得多大的關(guān)注，但在一系列的大量感染案例之后，人們才發(fā)現(xiàn)忽視這些級別較低的威脅參與者是多么不明智，并且他們同樣能給網(wǎng)絡(luò)安全帶來較大的威脅。

在SentinelLabs研究人員觀察和分析的最新活動中， 8220組織在用于擴展其僵尸網(wǎng)絡(luò)的腳本中添加了新內(nèi)容，盡管缺乏專門的檢測規(guī)避機制，但這段代碼仍具有足夠的隱蔽性。從上月底開始，該組織開始使用專用文件來管理SSH暴力破解步驟，其中包含450個硬編碼憑證，對應(yīng)于廣泛的Linux設(shè)備和應(yīng)用程序。另一個更新是在腳本中使用阻止列表來排除特定主機的感染，主要涉及安全研究人員設(shè)置的蜜罐。最后，8220組織現(xiàn)在使用其自定義加密礦工PwnRig的新版本，它基于開源門羅礦工XMRig。

在最新版本的PwnRig中，礦工使用偽造的FBI子域，其IP地址指向巴西聯(lián)邦政府域，以創(chuàng)建偽造的礦池請求并掩蓋所產(chǎn)生資金的真實目的地。加密貨幣價格的下跌迫使加密劫持者擴大其業(yè)務(wù)規(guī)模，以便他們能夠保持相同的利潤。尤其是門羅幣，在過去六個月中已經(jīng)損失了超過 20% 的價值。預計不斷下降的加密貨幣價格將使加密劫持對威脅參與者的吸引力降低。但是，它將繼續(xù)成為許多威脅參與者的收入來源。

參考來源：https://www.bleepingcomputer.com/news/security/hacking-group-8220-grows-cloud-botnet-to-more-than-30-000-hosts/