© Dmitrii Shironosov / 123RF.com

Im Wettlauf zwischen Sicherheitsexperten und Hackern geben sich die Angreifer nicht geschlagen. Eine chinesische Gruppe hat ihre Malware jetzt nachgerüstet, um auf Linux-Servern noch erfolgreicher zu sein.

Die chinesische Hacker-Gruppe 8220 [1] hat laut Microsoft [2] ihre verbreitete Malware kürzlich aktualisiert [3], um die Effizienz ihrer Attacken zu verbessern. Die seit 2017 aktive Gruppe ist vor allem für das Mining der Kryptowährung Monero bekannt. Sie hat sich nach der Port-Nummer 8220 benannt, die sie hauptsächlich zur Kommunikation mit ihrer Malware einsetzt. Sie hat auch den WhatMiner-Code entwickelt. Im Fokus des neuen Malware-Updates stehen Linux-Systeme, die gezielt angegriffen werden sollen, um darauf unter anderem Kryptowährungen zu schürfen. Des Weiteren ist die Malware so ausgelegt, dass sie sich von dem angegriffenen System aus weiter ausbreitet.

Die Updates der Malware betreffen hauptsächlich i686- und x86_64-Linux-Systeme. So haben die Angreifer unter anderem das Exploit-Repertoire der Malware erweitert. Das betrifft unter anderem eine Sicherheitslücke in Atlassians Anwendung Confluence, die Akamai Anfang Juni als Zero-Day-Exploit (CVE-2022-26134) veröffentlichte. Laut Akamai traten zu diesem Zeitpunkt täglich mehr als 100 000 Attacken gegen Confluence auf. Aber auch Exploits für ältere Schwachstellen haben die Angreifer zu ihrer Malware im Zuge des Updates hinzugefügt. So versucht die Malware nun auch, eine mehr als drei Jahre alte Sicherheitslücke in Oracles WebLogic-System (CVE-2019-2725) auszunutzen, um Zugriff auf verwundbare Systeme zu erlangen.

Nach einem erfolgreichen Angriff zieht die Malware einen Loader von der URL http://jira.letmaker.top nach, der unter anderem die Spuren des Einbruchs auf dem Linux-System beseitigt. Hierzu werden Log-Dateien gesäubert und diverse Sicherheitswerkzeuge deaktiviert. Damit versteckt sich die Malware auf dem System so, dass sie nur schwierig zu entdecken ist. Neben der Routine zur weiteren Verbreitung startet die Malware dann einen Prozess zum Mining. Dazu lädt der Loader in einem nächsten Schritt den Crypto-Miner PwnRig (Version 1.41.0) auf das System herunter. Zur Kontrolle der Malware installiert der Loader zudem einen IRC-Bot, der Befehle des Angreifers entgegennehmen kann.

Wie andere Backdoors auch versucht die Malware dafür zu sorgen, dass ein Neustart des Systems nicht dazu führt, dass die Prozesse terminiert bleiben. Hierzu richtet die Schadsoftware einen Cronjob ein. In einem letzten Schritt installiert der Loader den Portscanner Masscan, um weitere via SSH erreichbare Rechner im Netzwerk zu finden. Die Malware versucht daraufhin via SSH-Bruteforce Zugriff auf diese anderen Systeme zu erlangen. Dazu lädt der Loader das Spirit-Tool auf das System, um die Bruteforce-Attacke gegen die SSH-Server im Netzwerk auszuführen. Zusätzlich sucht das Werkzeug noch nach lokalen SSH-Keys, um darüber Zugriff auf die anderen System zu erlangen, ohne die Passwörter erraten zu müssen.

Microsoft hat via Twitter auch Befallsindikatoren für die Malware veröffentlicht. So wurden für die verschiedenen Komponenten des Schädlings SHA-256-Hashes publiziert (siehe Tabelle “Indicators of Compromise”). Administratoren sollten auf ihren Systemen nach Dateien mit diesen Hashes suchen, um zu erkennen, ob sie Opfer einer Attacke der Malware wurden. (jcb)