【安全资讯】8220团伙利用Confluence漏洞进行加密挖矿

8220加密挖矿组织正利用 Atlassian Confluence 服务器中最近披露的远程代码执行漏洞在易受攻击的服务器上安装矿工。该漏洞被追踪为 CVE-2022-26134，在 5 月底被发现，供应商于2022 年 6 月 3 日发布了修复程序。攻击者通过向受害者发送精心设计的 HTTP 请求来利用 CVE-2022-26134，并释放base64 编码的有效负载。接下来，payload 会获取可执行文件、Linux 上的恶意软件 dropper 脚本和 Windows 上的子进程生成器。这两种情况都旨在建立持久性，卸载所有正在运行的代理，然后激活矿工。攻击链如下图：