8220 갱 범죄웨어 그룹: 클라우드 호스트 감염 및 봇넷 운영과 PwnRig 암호화폐 채굴기

8220 Gang, 또는 8220 Mining Group로 알려진 이 그룹은 작년 동안 활동을 확대하며 감염된 호스트의 클라우드 봇넷을 2021년 중반의 2,000개에서 현재 30,000개 이상으로 성장시켰습니다. 이전 공격에서는 기존의 취약점을 활용하고 무차별 대입 공격을 실행하여 클라우드 서버를 손상시키고 암호화폐 채굴기를 투하하는 데 집중했습니다.

해커들은 처음에 C&C를 위한 포트 8220을 사용했으며, 이름도 여기서 유래되었습니다. 이들의 활동에서 중국어 사용 환경에서 나온 공격자라는 특정 흔적이 보입니다.

탐지

경험 많은 Threat Bounty 개발자가 발표한 Sigma 규칙으로 8220 Gang의 침입을 나타내는 의심스러운 행동을 환경 내에서 탐지합니다. 에미르 에르도안:

PwnRig 암호화폐 채굴기 탐지 (프로세스 생성 기준)

이 규칙은 MITRE ATT&CK® 프레임워크 버전 10과 일치하며, 방어 회피 및 임팩트 전술을 다루고 있습니다. 주요 기술로는 난독화된 파일 또는 정보 (T1027) 및 자원 하이재킹 (T1496)을 포함합니다.

플랫폼에 처음이라면, 방대한 Sigma 규칙 컬렉션을 탐색해 보세요. 관련 위협 컨텍스트, CTI 및 MITRE ATT&CK 참조, CVE 설명을 제공하고 위협 사냥 트렌드에 대한 업데이트를 받아보세요. 등록이 필요하지 않습니다! ‘위협 컨텍스트 탐색’ 버튼을 눌러 더 알아보세요. ‘위협 컨텍스트 탐색’ 버튼을 눌러 더 알아보세요. 협업 사이버 방어, 위협 사냥, 발견을 위한 세계 최초의 플랫폼에 무제한 액세스를 활성화하세요. 최신 위협을 사냥하고, 위협 조사를 자동화하며, 28,000명 이상의 보안 전문가 커뮤니티로부터 피드백과 검증을 받아 보안 작업을 강화하세요. 아래에서 ‘탐지 & 사냥’ 버튼을 클릭하여 등록하세요. 협업 사이버 방어, 위협 사냥, 발견을 위한 세계 최초의 플랫폼에 무제한 액세스를 활성화하세요. 최신 위협을 사냥하고, 위협 조사를 자동화하며, 28,000명 이상의 보안 전문가 커뮤니티로부터 피드백과 검증을 받아 보안 작업을 강화하세요. 아래에서 ‘탐지 & 사냥’ 버튼을 클릭하여 등록하세요.

‘탐지 & 사냥’ ‘위협 컨텍스트 탐색’

8220 Gang 방법

연구자들에 따르면 SentinelOne 보고서에 의하면 8220 Gang은 클라우드 네트워크(AWS, Azure, GCP, Alitun, QCloud)를 사용하는 사용자들을 대상으로 하며, 잘못 구성되거나 패치되지 않은 리눅스 애플리케이션 및 서비스를 운영합니다. 최근에 위협 행위자는 전 세계적으로 30,000명의 감염 호스트를 포함하는 클라우드 봇넷을 암호화폐를 채굴하기 위해 성장시켰습니다. 2017년에 등장했고 그 이후로 문제가 되어 왔으며, 8220 Gang 멤버들은 현재 캠페인에서 IRC 봇넷의 새로운 버전인 PwnRig 암호화폐 채굴기와 일반적인 감염 스크립트를 활용하고 있습니다.

범죄웨어 그룹은 상위 위협 행위자로 간주되지 않지만, 아마도 암호화폐 가격 하락에 의해 동기부여된 공격자들은 지난해 동안 그들의 기술을 업데이트하고 효율적인 페이로드를 채택할 수 있었습니다. 연구 데이터에 따르면 8220 Gang은 i686 및 x86_64 리눅스 시스템을 대상으로 하며 CVE-2022-26134 (Atlassian Confluence)와 CVE-2019-2725 (WebLogic) 취약점을 이용해 초기 접근을 획득합니다. 감염 스크립트의 가장 최근 버전은 연구 허니팟과 같은 특정 호스트에 감염되지 않도록 차단 목록을 사용합니다.

전문적으로 사냥하십니까? 다른 SOC 전문가와 지식을 공유하고, 26개 이상 지원되는 SIEM, EDR 및 XDR 기술을 이용하여 위협을 사냥하며 SOC Prime의 방대한 규칙 라이브러리에서 탐지 콘텐츠를 확인해 보세요. 우리 위협 현상금 프로그램.