8220 ギャング クライムウェアグループ: クラウドホストに感染し、ボットネットとPwnRig暗号通貨マイナーを運営

8220ギャング、別名8220マイニンググループは、昨年活動を活発化させ、感染したホストのクラウドボットネットを2021年中頃の2,000台から現在30,000台まで増加させています。これまでの攻撃では、脅威グループは既存の脆弱性を利用し、クラウドサーバーを侵害して暗号通貨マイナーをドロップするためにブルートフォース攻撃を仕掛けることに焦点を当ててきました。

ハッカーは最初にC&Cにポート8220を使用しています – それが名前の由来です。敵対者が中国語環境から来ていることを示す特別な痕跡があります。

検出

我々の経験豊富なThreat Bounty開発者によってリリースされたSigmaルールを使用して、8220ギャングの侵入を示す環境内の疑わしい行動を検出します エミル・エルドガン:

PwnRig暗号通貨マイナーの検出（プロセス作成経由）

このルールは MITRE ATT&CK® フレームワークv.10に準拠しており、防御回避と影響戦術において 難読化されたファイルまたは情報（T1027）およびリソースハイジャッキング（T1496）を主な技法としています。

プラットフォームに初めての場合は、おおくの Sigmaルール を脅威のコンテキスト、CTI、MITRE ATT&CKリファレンス、CVEの説明とともに閲覧し、脅威ハンティングのトレンドの更新を取得します。登録は必要ありません！ 脅威コンテキストを探る ボタンを押して詳細を確認します。無制限アクセスを解除して、 世界初の協調的サイバー防衛、脅威ハンティング、認識プラットフォームにアクセスしましょう。26以上のSIEM、EDR、XDRプラットフォームと統合し、最新の脅威を追跡、自動化した脅威調査を実施し、28,000人以上のセキュリティ専門家のコミュニティからフィードバックと検証を受け、セキュリティオペレーションを向上させます。 下のボタンをクリックして登録 検出 & ハント

下のボタンをクリックして登録 脅威コンテキストを探る

8220ギャングの手法

の研究者によると、8220ギャングはクラウドネットワーク（AWS、Azure、GCP、Alitun、QCloud）の利用者をターゲットにし、設定が不十分かパッチが適用されていないLinuxアプリケーションやサービスを実行しています。最近、脅威アクターはクラウドボットネットを世界中で30,000台の感染したホストに成長させ、暗号通貨をマイニングしています。2017年に登場し、それ以来問題となっており、8220ギャングのメンバーは現在のキャンペーンでIRCボットネットの新バージョン、PwnRig暗号通貨マイナー、そしてその一般的な感染スクリプトを活用しています。 の研究者によると、8220ギャングはクラウドネットワーク（AWS、Azure、GCP、Alitun、QCloud）の利用者をターゲットにし、設定が不十分かパッチが適用されていないLinuxアプリケーションやサービスを実行しています。最近、脅威アクターはクラウドボットネットを世界中で30,000台の感染したホストに成長させ、暗号通貨をマイニングしています。2017年に登場し、それ以来問題となっており、8220ギャングのメンバーは現在のキャンペーンでIRCボットネットの新バージョン、PwnRig暗号通貨マイナー、そしてその一般的な感染スクリプトを活用しています。 reported that 8220 Gang targets users of cloud networks (AWS, Azure, GCP, Alitun, and QCloud), running poorly configured or unpatched Linux applications and services. Recently, the threat actor has managed to grow their cloud botnet to 30,000 infected hosts worldwide to mine cryptocurrencies. Emerged in 2017 and has been a problem ever since, 8220 Gang members are leveraging a new version of the IRC botnet, PwnRig cryptocurrency miner, and its generic infection script in the current campaign.

このクライムウェアグループは、トップティアの脅威アクターとは見なされていませんが、おそらく暗号通貨価格の低下によって動機付けられる敵は、昨年の間に技術をアップデートし、効率的なペイロードを採用することに成功しました。調査データによれば、8220ギャングはi686およびx86_64 Linuxシステムをターゲットにしており、初期アクセスを取得するために CVE-2022-26134 （Atlassian Confluence）およびCVE-2019-2725（WebLogic）の脆弱性を利用しています。感染スクリプトの最新のイテレーションでは、研究用ハニーポットのような特定のホストへの感染を防ぐためのブロックリストを使用しています。

プロフェッショナルにハンティングしていますか？他のSOCの専門家と知識を共有し、26以上のサポートされたSIEM、EDR、XDR技術の中で脅威を追跡し、SOC Primeの広範なルールライブラリで自分の検出コンテンツを表示して Threat Bountyプログラムに参加.