Grupo de Crimenware 8220: Infecta Alojamientos en la Nube y Opera una Botnet y Minero de Criptomonedas PwnRig
Tabla de contenidos:
El grupo 8220, también conocido como 8220 Mining Group, ha aumentado su actividad en el último año, incrementando la botnet en la nube de hosts infectados de 2,000 a mediados de 2021 a 30,000 y contando a partir de ahora. En sus ataques anteriores, el grupo de amenaza se centró en aprovechar vulnerabilidades existentes y lanzar ataques de fuerza bruta para comprometer servidores en la nube e instalar mineros de criptomonedas.
Los hackers inicialmente usaron el puerto 8220 para C&C, de ahí el nombre. Hay rastros particulares de su actividad que indican que los adversarios provienen de un entorno de habla china.
Detección
Detecta comportamientos sospechosos dentro de tu entorno que indiquen una intrusión del 8220 Gang con una regla Sigma lanzada por nuestro experimentado desarrollador de Threat Bounty Emir Erdogan:
Detección del minero de criptomonedas PwnRig (vía process_creation)
La regla está alineada con el marco MITRE ATT&CK® versión 10, abordando las tácticas de Evasión de Defensa e Impacto con Archivos o Información Ofuscados (T1027) y Secuestro de Recursos (T1496) como las técnicas principales.
Si eres nuevo en la plataforma, navega por una amplia colección de reglas Sigma con contexto relevante sobre amenazas, CTI y referencias de MITRE ATT&CK, descripciones CVE, y obtén actualizaciones sobre tendencias de caza de amenazas. ¡No se requiere registro! Presiona el botón Explorar Contexto de Amenazas para aprender más. Desbloquea el acceso ilimitado a la primera plataforma mundial para la defensa cibernética colaborativa, la caza de amenazas y descubrimientos que se integra con más de 26 plataformas SIEM, EDR y XDR. Busca las amenazas más recientes, automatiza la investigación de amenazas y recibe retroalimentación y validación por parte de una comunidad de más de 28,000 profesionales de seguridad para mejorar tus operaciones de seguridad. Regístrate haciendo clic en el botón Detectar & Cazar a continuación.
botón Detectar & Cazar Explorar Contexto de Amenazas
Métodos del 8220 Gang
Investigadores de SentinelOne informaron que el 8220 Gang apunta a usuarios de redes en la nube (AWS, Azure, GCP, Alitun y QCloud) que ejecutan aplicaciones y servicios de Linux mal configurados o sin parches. Recientemente, el actor de amenaza ha logrado expandir su botnet en la nube a 30,000 hosts infectados en todo el mundo para minar criptomonedas. Surgido en 2017 y ha sido un problema desde entonces, los miembros del 8220 Gang están aprovechando una nueva versión del botnet IRC, el minero de criptomonedas PwnRig y su script de infección genérico en la campaña actual.
El grupo de cibercrimen no se considera un actor de amenaza de alto nivel; sin embargo, los adversarios, probablemente motivados por la caída de los precios de las criptomonedas, han logrado actualizar sus técnicas y adoptar cargas útiles eficientes en el último año. Según los datos de la investigación, el 8220 Gang apunta a sistemas Linux i686 y x86_64, haciendo uso de CVE-2022-26134 (Atlassian Confluence) y CVE-2019-2725 (WebLogic) para obtener acceso inicial. Las iteraciones más recientes del script de infección emplean listas de bloqueos para evitar infectar hosts particulares, como honeypots de investigación.
¿Cazando profesionalmente? Comparte tu conocimiento con otros expertos SOC, busca amenazas entre más de 26 tecnologías SIEM, EDR y XDR compatibles, y ve tu contenido de detección mostrado en la vasta biblioteca de reglas de SOC Prime uniéndote a nuestro Programa de Recompensa de Amenazas.
