Cisco Talos ได้ทำรายงานศึกษาเจาะลึกถึงกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเน้นเจาะระบบบริการระดับองค์ เช่น Jenkins, Hadoop, Jboss และ Struts2 เพื่อทำการแอบขุดเหมืองเงินดิจิทัล โดยแบ่งเป็น 3 กลุ่มหลักคือ Rocke, 8220 Mining และ Tor2Mine
เทคนิคที่กลุ่มคนร้ายใช้มีความคล้ายคลึงกัน เช่น เอาเครื่องมือและสคิร์ปต์ไปฝากไว้บน GitHub, PasteBin และโดเมน .tk หรือแม้กระทั่งแอบสคิร์ปต์ที่จำเป็นในการปฏิบัติการไว้ภายใต้ไฟล์ JPEG โดยรายได้ของทั้ง 3 กลุ่มนี้รวมกันประมาณ 1,200 เหรียญ Monero ซึ่งเคยพุ่งสูงสุดประมาณ 400 ดอลล่าร์สหรัฐต่อ 1 เหรียญ เรื่องราวของทั้ง 3 กลุ่มที่ Talos ได้ระบุในรายงานมีดังนี้
-
Rocke ได้เน้นโจมตีบริการอย่าง Apache Struts 2, Jboss และ Jenkins รวมถึงมีการใช้ GitHub, HTTP File Servers (HFS), JavaScript Backdoor, ไฟล์ JPEG ที่ซ่อนคำสั่งไว้ และ ELF / PE miner สำหรับการปฏิบัติการ นอกจากนี้ยังได้ใช้สคิร์ปต์ที่ทำให้เกิดการกระจายตัวเองไปยังเซิร์ฟเวอร์อื่นที่มีช่องโหว่ด้วย
-
8220 Mining จากการศึกษา Rocke ทำให้สามารถขยายผลถึงวิธีการคล้ายกันของคนร้ายทั้งสองกลุ่มคือมีการฝากโปรเจ็คของตนไว้บน GitHub เช่นกัน โดยที่มาของชื่อคือกลุ่มนี้ได้มาจากการส่งคำสั่งควบคุมผ่านทาง TCP พอร์ต 8220 นั่นเองซึ่งกลุ่มนี้ทำรายได้ไปแล้วกว่า 200,000 เหรียญสหรัฐฯ สำหรับในโปรเจ็คของคนร้ายนั้นประกอบด้วยวิธีการโจมตี Redis, Oracle WebLogic, Structs 2, Drupal และ Hadoop Yarn รวมถึงวิธีการติดตั้งตัวขุดเหมืองต่างๆ และยังมีการใช้งาน Docker Image อันตรายด้วย
-
tor2mine กลุ่มนี้ได้เลือกใช้งานเกตเวย์ของ Tor สำหรับการส่งคำสั่งควบคุมซึ่งไม่จำเป็นต้องติดตั้งตัวไคลเอนต์บนเซิร์ฟเวอร์เหยื่อแต่อย่างใด โดยกลุ่มนี้สนใจทั้ง Linux และ Windows เพราะมีการใช้ทั้ง PowerShell และ Bash เพื่อดาวน์โหลดตัวขุดเหมือง รวมถึงมีการใช้ช่องโหว่อย่าง EternalBlue และ EternalRomance เพื่อขยายวงการโจมตีด้วย