近期，一個(gè)名為8220組織的加密采礦團(tuán)伙利用Linux和云應(yīng)用程序漏洞將其僵尸網(wǎng)絡(luò)擴(kuò)大至30,000多臺(tái)受感染的主機(jī)。該組織的技術(shù)并不高，但經(jīng)濟(jì)動(dòng)機(jī)強(qiáng)，他們針對(duì)運(yùn)行Docker、Redis、Confluence和Apache漏洞版本的公開系統(tǒng)，感染AWS、Azure、GCP、Alitun和QCloud等主機(jī)。該團(tuán)伙以前的攻擊依賴于公開可用的漏洞利用來破壞 Confluence 服務(wù)器。

在獲得訪問權(quán)限后，攻擊者使用SSH暴力破解進(jìn)一步傳播并劫持可用的計(jì)算資源來運(yùn)行指向無法追蹤的加密礦工。

8220組織至少從2017年開始就活躍起來，起先其并沒有獲得多大的關(guān)注，但在一系列的大量感染案例之后，人們才發(fā)現(xiàn)忽視這些級(jí)別較低的威脅參與者是多么不明智，并且他們同樣能給網(wǎng)絡(luò)安全帶來較大的威脅。

在SentinelLabs研究人員觀察和分析的最新活動(dòng)中， 8220組織在用于擴(kuò)展其僵尸網(wǎng)絡(luò)的腳本中添加了新內(nèi)容，盡管缺乏專門的檢測規(guī)避機(jī)制，但這段代碼仍具有足夠的隱蔽性。從上月底開始，該組織開始使用專用文件來管理SSH暴力破解步驟，其中包含450個(gè)硬編碼憑證，對(duì)應(yīng)于廣泛的Linux設(shè)備和應(yīng)用程序。另一個(gè)更新是在腳本中使用阻止列表來排除特定主機(jī)的感染，主要涉及安全研究人員設(shè)置的蜜罐。最后，8220組織現(xiàn)在使用其自定義加密礦工PwnRig的新版本，它基于開源門羅礦工XMRig。

在最新版本的PwnRig中，礦工使用偽造的FBI子域，其IP地址指向巴西聯(lián)邦政府域，以創(chuàng)建偽造的礦池請(qǐng)求并掩蓋所產(chǎn)生資金的真實(shí)目的地。加密貨幣價(jià)格的下跌迫使加密劫持者擴(kuò)大其業(yè)務(wù)規(guī)模，以便他們能夠保持相同的利潤。尤其是門羅幣，在過去六個(gè)月中已經(jīng)損失了超過 20% 的價(jià)值。預(yù)計(jì)不斷下降的加密貨幣價(jià)格將使加密劫持對(duì)威脅參與者的吸引力降低。但是，它將繼續(xù)成為許多威脅參與者的收入來源。

參考來源：https://www.bleepingcomputer.com/news/security/hacking-group-8220-grows-cloud-botnet-to-more-than-30-000-hosts/