Специалисты SentinelOne обнаружили майнинговый ботнет, который насчитывает около 30 000 зараженных хостов по всему миру. Исследователи говорят, что ботнет принадлежит группировке 8220, активной с 2017 года.
Эксперты пишут, что группа 8220 —это «одна из многих низкоквалифицированных преступных групп», за которыми они наблюдают постоянно. Как правило, эти хакеры заражают облачные хосты с помощью известных уязвимостей, а также векторов заражения, связанных с удаленным доступом.
Интересно, что еще в конце 2021 года этот ботнет насчитывал лишь около 2000 хостов. Столь быстрый рост специалисты объясняют активными атаками на Linux-серверы, о которых недавно предупреждали аналитики Microsoft, а также эксплуатацией багов в облачных приложениях и взломом защищенных установок Docker, Apache WebLogic и Redis.
Напомню, что, по данным Microsoft, новейшая кампания хакеров направлена против Linux-систем (i686 и x86_64), и в ее рамках применяются эксплоиты для удаленного выполнения кода. В частности, хакеры используют для получения первоначального доступа недавно раскрытый баг в Atlassian Confluence (CVE-2022-26134), а также старую уязвимость в Oracle WebLogic (CVE-2019-2725).
Помимо кастомного майнера PwnRig, основанного на известном XMRig, который используют преступники, атакующий скрипт группы также предназначен для удаления защитных инструментов и брутфорса SSH (с использованием списка из 450 жестко закодированных учетных данных) для дальнейшего бокового перемещения по сети.
Более того, новые версии скрипта имеют черные списки, которые помогают малвари избегать компрометации определенных хостов, включая серверы-приманки исследователей.
Также отмечается, что сам PwnRig тоже недавно был обновлен и теперь использует домен, подделывающийся под ФБР, а IP-адрес указывает на законный домен федерального правительства Бразилии. Все это сделано ради сокрытия мошеннических запросов к майнинговому пулу, чтобы было неясно, куда уходят «заработанные» хакерами деньги.
Добавлено через 1 минуту 13 секунд
Может тоже этим заняться? Работа вроде не очень сложная сплойты применять. Просканил сеть да взламывай. Выхлоп должен быть хороший.

Скрытые майнеры стоят денег (да и то ещё найти нужно таких вендоров что б тебя не наебали на твои намайненые бабки), серваки под скан всего интернета стоят денег, эксплоиты которые выложены например на exploit-db не факт что рабочие. Так же нужны руткиты и подобные программы для закрепления в системе и всякие чищики логов на серванте после взлома а так же скиллы отключать всякие системы обнаружения по которым тебя могут увидеть на серваке. Плюс конкуренция имеет место быть. На твоих взломаных серверах вполне может быть уже сидят десятки хакеров. https://txgate.io/images/smilies/yoba.png Может для того что бы этого небыло после взлома необходимо даже будет самому пропатчить систему что бы другие хакеры уже не смогли с помощью этой дыры/дыр войти на сервак. Так же незабываем про то что есть хонипоты и ментовские сетки. Так что не так всё просто. Нужны и деньги и фарт и знания. Но конечно все эти проблемы решаемы. Например после того как ты насканишь например masscan`ом или zmap`ом интернет и навзламываешь сервера - отпадёт необходимость в покупке серваков под скан, а того и глядишь сможешь и сам продавать серваки под скан всего интернета на необходимых портах да ещё и с баннерами сразу. Ну и конечно не плохо бы было уметь кодить. Но вот чего чего а этого я толком не умею. Обхожусь скиллами скрипт-киддиса. https://txgate.io/images/smilies/yoba.png А так хотелось бы автоматизировать взлом и патчинг и всё прочее - типа червя, что бы он всё это делал на автомате. https://txgate.io/images/smilies/yoba.png

Хотя это очень интересно выглядит, например намайнит одна система 1 доллар в день это уже 30к баксов в сутки, сколько там одна система может намайнить? Если даже доллар в сутки с одного облака, то это уже при удачном раскладе что ничто не отвалится - почти лям зелени за 30 дней. Вот это кайф, Я понимаю.