قامت مجموعة الجهات الفاعلة في مجال التهديد السحابي التي تم تتبعها على أنها رقم 8220 بتحديث مجموعة أدوات البرامج الضارة الخاصة بها لاختراق خوادم Linux بهدف تثبيت مُعدِّني التشفير كجزء من حملة طويلة الأمد.
وقالت Microsoft Security Intelligence في سلسلة تغريدات يوم الخميس : "تشمل التحديثات نشر إصدارات جديدة من عامل منجم التشفير وروبوت IRC" .
8220 ، نشط منذ أوائل عام 2017، هو ممثل تهديدي ناطق بالصينية،Monero سمي بهذا الاسم بسبب تفضيله للتواصل مع خوادم القيادة والتحكم (C2) عبر المنفذ 8220. إنه أيضًا مطور أداة تسمى whatMiner ، والتي تم الاستحواذ عليه من قبل مجموعة جرائم الإنترنت في Rocke في هجماتهم.
في يوليو 2019، كشف فريق Alibaba Cloud Security عن تحول إضافي في تكتيكات الخصم، مشيرًا إلى استخدامه للجذور الخفية لإخفاء برنامج التعدين. بعد ذلك بعامين، عادت العصابة إلى الظهور مع متغيرات Tsunami IRC botnet وعامل "PwnRig".
الآن وفقًا لمايكروسوفت، لوحظ أن أحدث حملة لأنظمة لينكس i686 و x86_64 تستخدم كسلاح في تنفيذ التعليمات البرمجية عن بُعد لخادم التقاء Atlassian Confluence Server ( CVE-2022-26134) و Oracle WebLogic ( CVE-2019-2725 ) للوصول الأولي.
تنجح هذه الخطوة عن طريق استرداد أداة تحميل البرامج الضارة من خادم بعيد مصمم لإسقاط PwnRig miner و IRC bot ، ولكن ليس قبل اتخاذ خطوات لتجنب الاكتشاف عن طريق محو ملفات السجل وتعطيل مراقبة السحابة وبرامج الأمان.
