Gruppo Crimeware 8220 Gang: Infetta Host Cloud e Gestisce una Botnet e il Miner di Criptovalute PwnRig

[post-views]
Luglio 21, 2022 · 3 min di lettura
Gruppo Crimeware 8220 Gang: Infetta Host Cloud e Gestisce una Botnet e il Miner di Criptovalute PwnRig

8220 Gang, alias 8220 Mining Group, ha intensificato l’attività nell’ultimo anno, incrementando la botnet cloud di host infetti da 2.000 a metà del 2021 a 30.000 e oltre al momento. Nei loro attacchi precedenti, il gruppo di minacce si è concentrato sullo sfruttamento delle vulnerabilità esistenti e sul lancio di attacchi brute-force per compromettere i server cloud e installare miner di criptovalute.

Gli hacker hanno inizialmente utilizzato la porta 8220 per il C&C – da qui il nome. Ci sono particolari tracce della loro attività che indicano che gli avversari provengono da un ambiente di lingua cinese.

Rilevamento

Rileva comportamenti sospetti all’interno del tuo ambiente che indicano l’intrusione di 8220 Gang con una regola Sigma rilasciata dal nostro esperto sviluppatore di Threat Bounty Emir Erdogan:

Rilevamento del miner di criptovaluta PwnRig (via process_creation)

La regola è allineata al framework MITRE ATT&CK® v.10, affrontando le tattiche di Difesa Evasione e Impatto con File o Informazioni Offuscati (T1027) e Appropriazione delle Risorse (T1496) come tecniche principali.

Se sei nuovo sulla piattaforma, sfoglia una vasta collezione di regole Sigma con contesto di minaccia rilevante, CTI e riferimenti MITRE ATT&CK, descrizioni CVE, e ottieni aggiornamenti sulle tendenze della caccia alle minacce. Non è richiesta alcuna registrazione! Premere il pulsante Esplora il Contesto delle Minacce per saperne di più. Sblocca l’accesso illimitato a la prima piattaforma al mondo per la difesa informatica collaborativa, la caccia alle minacce e la scoperta che si integra con oltre 26 piattaforme SIEM, EDR e XDR. Caccia alle minacce più recenti, automatizza l’indagine delle minacce e ricevi feedback e valutazioni da una comunità di oltre 28.000 professionisti della sicurezza per potenziare le tue operazioni di sicurezza. Registrati cliccando il pulsante Rileva & Caccia qui sotto.

pulsante Rileva & Caccia Esplora il Contesto delle Minacce

Metodi 8220 Gang

I ricercatori di SentinelOne hanno riferito che 8220 Gang prende di mira gli utenti delle reti cloud (AWS, Azure, GCP, Alitun e QCloud), che eseguono applicazioni e servizi Linux mal configurati o non aggiornati. Recentemente, l’attore della minaccia è riuscito a far crescere la loro botnet cloud a 30.000 host infetti in tutto il mondo per minare criptovalute. Emersi nel 2017 e rappresentano un problema da allora, i membri della 8220 Gang stanno sfruttando una nuova versione del botnet IRC, il miner di criptovalute PwnRig e il suo script di infezione generico nella campagna attuale.

Il gruppo di crimeware non è considerato un attore di minacce di alto livello; tuttavia, gli avversari, probabilmente motivati dal calo dei prezzi delle criptovalute, sono riusciti ad aggiornare le loro tecniche e ad adottare payload efficienti nell’ultimo anno. Secondo i dati di ricerca, 8220 Gang prende di mira i sistemi Linux i686 e x86_64, sfruttando le vulnerabilità CVE-2022-26134 (Atlassian Confluence) e CVE-2019-2725 (WebLogic) per ottenere l’accesso iniziale. Le iterazioni più recenti dello script di infezione impiegano liste di blocco per evitare di infettare particolari host, come honeypot di ricerca.

Cacciatore professionista? Condividi la tua conoscenza con altri esperti SOC, caccia minacce all’interno di oltre 26 tecnologie SIEM, EDR e XDR supportate, e vedi i tuoi contenuti di rilevamento visualizzati nella vasta libreria di regole di SOC Prime unendoti al nostro Threat Bounty Program.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati