Groupe de crimeware 8220 Gang : Infecte les hôtes cloud et opère un botnet et un mineur de cryptomonnaie PwnRig
Table des matières :
8220 Gang, alias 8220 Mining Group, a intensifié ses activités l’année dernière, augmentant le botnet cloud des hôtes infectés de 2 000 à mi-2021 à 30 000 et plus à ce jour. Lors de leurs précédentes attaques, le groupe de menaces s’est concentré sur l’exploitation des vulnérabilités existantes et le lancement d’attaques par force brute pour compromettre les serveurs cloud et déployer des mineurs de cryptomonnaie.
Les pirates ont initialement utilisé le port 8220 pour le C&C – d’où le nom. Il existe des traces particulières de leur activité indiquant que les adversaires proviennent d’un environnement sinophone.
Détection
Détectez un comportement suspect dans votre environnement indiquant l’intrusion de 8220 Gang avec une règle Sigma publiée par notre développeur Threat Bounty expérimenté Emir Erdogan:
Détection du mineur de cryptomonnaie PwnRig (via process_creation)
La règle est alignée avec le cadre MITRE ATT&CK® version 10, abordant les tactiques d’évasion de défense et d’impact avec des fichiers ou des informations obfusqués (T1027) et le détournement de ressources (T1496) comme techniques principales.
Si vous êtes nouveau sur la plateforme, parcourez une vaste collection de règles Sigma avec un contexte de menace pertinent, des références CTI et MITRE ATT&CK, des descriptions CVE, et obtenez des mises à jour sur les tendances de la chasse aux menaces. Aucun enregistrement n’est requis ! Appuyez sur le bouton Explorer le Contexte des Menaces pour en savoir plus. Déverrouillez un accès illimité à la première plateforme mondiale pour la cyberdéfense collaborative, la chasse aux menaces et la découverte, qui s’intègre avec plus de 26 plateformes SIEM, EDR et XDR. Chassez les dernières menaces, automatisez l’investigation des menaces et obtenez des commentaires et une validation par une communauté de plus de 28 000 professionnels de la sécurité pour renforcer vos opérations de sécurité. Inscrivez-vous en cliquant sur le bouton Détecter & Chasser ci-dessous.
Détecter & Chasser Explorer le Contexte des Menaces
Méthodes du 8220 Gang
Les chercheurs de SentinelOne ont rapporté que 8220 Gang cible les utilisateurs de réseaux cloud (AWS, Azure, GCP, Alitun et QCloud), exécutant des applications et services Linux mal configurés ou non corrigés. Récemment, l’acteur de la menace a réussi à faire croître son botnet cloud à 30 000 hôtes infectés dans le monde pour miner des cryptomonnaies. Émergeant en 2017 et posant un problème depuis, les membres de 8220 Gang exploitent une nouvelle version du botnet IRC, du mineur de cryptomonnaie PwnRig, et de son script d’infection générique dans la campagne actuelle.
Le groupe de crimeware n’est pas considéré comme un acteur de menace de niveau élevé ; cependant, les adversaires, probablement motivés par la baisse des prix des cryptomonnaies, ont réussi à mettre à jour leurs techniques et adopter des charges utiles efficaces au cours de l’année écoulée. Selon les données de recherche, 8220 Gang cible les systèmes Linux i686 et x86_64, en utilisant CVE-2022-26134 (Atlassian Confluence) et CVE-2019-2725 (WebLogic) pour obtenir un accès initial. Les itérations les plus récentes du script d’infection emploient des listes de blocage pour éviter d’infecter certains hôtes, tels que les honeypots de recherche.
Chassez-vous professionnellement ? Partagez vos connaissances avec d’autres experts de SOC, chassez les menaces avec plus de 26 technologies SIEM, EDR et XDR prises en charge, et voyez votre contenu de détection affiché dans l’immense bibliothèque de règles de SOC Prime en rejoignant notre Programme de Récompense des Menaces.
