作者:Tom Hegel
译者:知道创宇404实验室翻译组
原文链接:https://www.sentinelone.com/blog/8220-gang-cloud-botnet-targets-misconfigured-cloud-workloads/
2022 年 7 月,我们报道了 8220 Gang,这是我们观察到的众多低技能犯罪软件团伙之一,通过已知漏洞和远程访问暴力强迫感染媒介感染云主机。我们注意到,8220 Gang已将其云服务僵尸网络扩展到全球约的30000台主机。
最近几周,该组织轮换了其攻击基础设施,继续将受感染的主机纳入其僵尸网络中,并分发加密货币挖掘恶意软件。
错误配置是感染尝试的关键
8220 Gang的攻击仍在继续,速度与我们之前报告的一致。大多数活动受害者仍在操作过时或配置错误的Docker、Apache、WebLogic版本以及各种Log4J易受攻击的服务版本。
8220 Gang通过扫描公共互联网上配置错误或易受攻击的主机来识别目标。受害者通常使用云基础设施,如AWS,Azure等,以及配置错误的实例,允许远程攻击者获得访问权限。运行 Docker、Confluence、Apache WebLogic 和 Redis 的公共可访问主机很容易被发现和攻击,并且无需多少技术知识。众所周知,8220 Gang在感染后利用SSH暴力攻击在受损网络内进行横向移动。
最近作为矿工机器人进行通信的顶级受害者暴露了Ububquiti Unifi云密钥,这些云密钥运行过时的网络控制器软件或Prometheus容器监控系统。被利用的漏洞通常不是最新的(例如 CVE-2019-2725),Oracle Weblogic 漏洞被用来下载安装程序脚本,例如 871f38fd4299b4d94731745d8b33ae303dcb9eaa。感染尝试的目标仍然是扩大僵尸网络,并在可能的情况下扩大加密货币主机挖矿。
8220 Gang利用PureCrypter
我们已经观察到8220 Gang使用PureCrypter恶意软件即服务。PureCrypter是一种自2021年以来以低成本提供的加载器服务,并且被观察到分发了大量商品恶意软件。8220 Gang针对的Windows系统已由PureCrypter下载器通过该组的传统C2基础架构提供服务,最常见的是89.34.27[.]167
。下载程序随后会根据注入器图像扩展URL返回。使用Discord url也可以观察到非法未成年人的下载。
一个明显的例子是矿工ee6787636ea66f0ecea9fa2a88f800da806c3ea6
在妥协后交付。这个加载程序指向Discord:
https://cdn.discordapp[.]com/attachments/994652587494232125/1004395450058678432/miner_Nyrpcmbw[.]png
并下载833cbeb0e748860f41b4f0192502b817a09eff6a
,最终在受害者主机上开始加密挖掘。
毫不意外,8220 Gang正在尝试新的装载机和矿工,同时尝试对公开服务进行传统开采。随着威胁形势的发展,我们可以预期黑客会寻求新的方法来阻止防御,隐藏他们的活动,并且试图提高攻击成功率。这只是8220 Gang的一个新的迭代尝试。
改变基础设施
自7月以来,8220 Gang转向使用89.34.27[.]167
,然后在2022年9月初将其基础设施轮换为79.110.62[.]23
,主要依赖于之前报告的两个域letmaker[.]top
和oracleservice[.]top
。
8220 Gang还使用了一个名为.79.175[.]139
的矿工代理。感染非法矿工的主机将与该代理进行通信,因为它充当一个池来组合资源并避免分析其累积的采矿指标。
滥用业余工具的现象日益猖獗
正如我们过去所报道的那样,围绕8220 Gang活动的脚本,矿工和基础设施源于对已知工具的普遍重用。“Script Kiddies”可能是一个更适合的行业名称。对工具和脆弱性的高层分析揭示了更广泛的非法活动。
例如,通过GreyNoise数据,我们可以看到CVE-2019-2725爬虫在过去30天内的常见程度。8220 Gang和其他攻击者成功地利用了扫描和利用类似的n天漏洞。一种理论可能是,这种类型的攻击者会寻找像这样易于破坏的系统,因为它们不太可能很快得到补救,甚至不符合常见的更新实践。无论漏洞管理处于何种状态,这些攻击者都能成功运行。我们可以把这种攻击看作是目标攻击的底层。
加载程序脚本也非常常见,可以通过运行常见云服务的可公开访问的主机和蜜罐进行观察。即使在一年内,脚本也发生了很大变化,有许多变体,并且它不再作为单个名称(例如Carbine Loader)进行跟踪。例如,在 VirusTotal 中搜索包含常见云安全工具的go-to-uninstall命令的任何 shell 脚本,以及唯一的变量名称,就会得到数百个最新结果。8220 Gang只是众多滥用相同脚本以保持僵尸网络存活的原因之一。
结论
8220 Gang继续他们的僵尸网络扩散工作,转向新的基础设施。该小组继续使用相同的采矿代理服务器,防御者应调查到该目的地的任何持续流量。此外,随着对PureCrypter MaaS的实验,该组织显然试图改进其攻击手段。由于云基础设施和常见的公共可访问服务仍然易受到攻击,我们预计8220 Gang将在未来继续发展。
IOC
通信
89.34.27.167(ZoomEye搜索结果)(从 2022 年 7 月到 9 月)
79.110.62.23(ZoomEye搜索结果)(主要自 2022 年 9 月起)
51.79.175.139(ZoomEye搜索结果)(矿工代理)
198.23.214.117(ZoomEye搜索结果) (矿工代理)
work.onlypirate[.]top
a.oracleservice[.]top
b.oracleservice[.]top
pwn.oracleservice[.]top
c4k-ircd.pwndns[.]pw
jira.letmaker[.]top
https://cdn.discordapp[.]com/attachments/994652587494232125/1004395450058678432/miner_Nyrpcmbw[.]png
File Hashes SHA1
165f188b915b270d17f0c8b5614e8b289d2a36e2
528477d0a2cf55f6e4899f99151a39883721b722
557d729f8a7ba712a48885304280b564194406d3
58af7af0dbf079bafd8fae1a7b3a2230b2bcba31
740a1cdee7b7f4350eec53c1ca3022562ea83903
7477812278038e8d3606c433f1c4389b897012e2
75ea4b0b76a0b61bd0f8f4a491e5db918bc1df1c
7b128cd6cf092409fc9c71ddd27c66dd98002b1a
871f38fd4299b4d94731745d8b33ae303dcb9eaa (CVE-2019-2725 示例)
9bc4db76ae77ea98fdcaa9000829840d33faba97
be53175a3b3e11c1e3ca7b87abb6851479453272
c1630af40f38f01e94eec2981c5f4f11481ba700
c22f9ae02601a52c9dca91c3b4cb3d2221f54b50
c537cf320e90a39e7f5e9846e118502802752780
c86349460658a994e517fede6773e650f8f3ac9b
d5138d1708d5d77ea86920a217c2033a2e94ad7e
ee6787636ea66f0ecea9fa2a88f800da806c3ea6
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1986/