【安全资讯】“8220”挖矿组织活动分析

自2022年一月以来，研究人员陆续捕获到多批次“8220”挖矿组织攻击样本，该挖矿组织自2017年出现，持续活跃，同时向Windows与Linux双平台传播恶意脚本，下载的载荷是门罗币挖矿程序以及其他僵尸网络程序、端口扫描爆破工具等。

“8220”组织在Windows平台中使用名为“xms.ps1”的PowerShell脚本执行主要功能，具体功能为下载名为“wxm.exe”的挖矿程序。在Linux平台中使用名为“xms”的Shell脚本执行主要功能，具体功能为最大化利用系统资源、关闭防火墙、结束竞品挖矿程序、卸载安全软件、创建计划任务持久化、对挖矿程序进行MD5校验、下载Tsunami僵尸网络程序和挖矿程序、收集主机身份信息进行横向移动等功能。Tsunami僵尸网络程序的主要功能为远程控制、DDoS攻击和其他恶意行为。