Grupo de Crimeware 8220 Gang: Infecta Hospedagens na Nuvem e Opera um Botnet e Minerador de Criptomoeda PwnRig
Índice:
O 8220 Gang, também conhecido como 8220 Mining Group, intensificou suas atividades no último ano, aumentando a botnet em nuvem de hosts infectados de 2.000 em meados de 2021 para 30.000 e continua crescendo até agora. Em ataques anteriores, o grupo de ameaça se concentrou em explorar vulnerabilidades existentes e lançar ataques de força bruta para comprometer servidores em nuvem e implantar mineradores de criptomoedas.
Os hackers inicialmente usaram a porta 8220 para C&C – daí o nome. Existem traços específicos de sua atividade indicando que os adversários vêm de um ambiente de língua chinesa.
Detecção
Detecte comportamento suspeito em seu ambiente que indique a intrusão do 8220 Gang com uma regra Sigma lançada pelo nosso experiente desenvolvedor de Threat Bounty Emir Erdogan:
Detecção do minerador de criptomoeda PwnRig (via process_creation)
A regra está alinhada com o framework MITRE ATT&CK® versão 10, abordando as táticas de Evasão de Defesa e Impacto com Arquivos ou Informações Ofuscadas (T1027) e Sequestro de Recursos (T1496) como as principais técnicas.
Se você é novo na plataforma, navegue por uma vasta coleção de regras Sigma com contexto de ameaça relevante, CTI e referências do MITRE ATT&CK, descrições CVE e obtenha atualizações sobre tendências de caça a ameaças. Nenhum registro é necessário! Pressione o botão Explorar Contexto de Ameaça para saber mais. Desbloqueie acesso ilimitado à primeira plataforma mundial para defesa cibernética colaborativa, caça e descoberta de ameaças que se integra com mais de 26 plataformas SIEM, EDR e XDR. Cace as ameaças mais recentes, automatize a investigação de ameaças e obtenha feedback e validação de uma comunidade de mais de 28.000 profissionais de segurança para aprimorar suas operações de segurança. Registre-se clicando no botão Detectar & Caçar abaixo.
Detectar & Caçar Explorar Contexto de Ameaça
Métodos do 8220 Gang
Pesquisadores da SentinelOne relataram que o 8220 Gang tem como alvo usuários de redes em nuvem (AWS, Azure, GCP, Alitun e QCloud), executando aplicações e serviços Linux mal configurados ou não corrigidos. Recentemente, o agente de ameaça conseguiu expandir sua botnet em nuvem para 30.000 hosts infectados em todo o mundo para minerar criptomoedas. Surgido em 2017 e um problema desde então, os membros do 8220 Gang estão aproveitando uma nova versão do botnet IRC, minerador de criptomoedas PwnRig, e seu script genérico de infecção na campanha atual.
O grupo de crimeware não é considerado um agente de ameaça de alto nível; no entanto, os adversários, provavelmente motivados pela queda nos preços das criptomoedas, conseguiram atualizar suas técnicas e adotar cargas úteis eficientes no último ano. De acordo com os dados de pesquisa, o 8220 Gang tem como alvo sistemas Linux i686 e x86_64, utilizando-se das vulnerabilidades CVE-2022-26134 (Atlassian Confluence) e CVE-2019-2725 (WebLogic) para obter acesso inicial. As iterações mais recentes do script de infecção empregam listas de bloqueio para evitar infectar hosts específicos, como honeypots de pesquisa.
Caça profissionalmente? Compartilhe seu conhecimento com outros especialistas em SOC, cace ameaças em mais de 26 tecnologias SIEM, EDR e XDR suportadas, e veja seu conteúdo de detecção exibido na vasta biblioteca de regras da SOC Prime participando do nosso Programa Threat Bounty.
