За последний месяц группа, известная как 8220 Gang, расширила свою бот-сеть примерно до 30 000 хостов по всему миру, используя уязвимости Linux и обычных облачных приложений и плохо защищенные конфигурации. В одной из последних кампаний группа была замечена в использовании новой версии IRC-ботнета, криптовалютного майнера PwnRig и его общего скрипта заражения.
8220 Gang - группа действовала на протяжении многих лет, к середине 2021 года ботнет насчитывал около 2000 узлов по всему миру. В этом месяце мы наблюдали новые кампании, использующие давно существующие наборы инфраструктуры, в результате чего численность ботнета достигла сегодняшней цифры - около 30 000 зараженных узлов.
8220 Mining Group
220 Gang, также известная как 8220 Mining Group, была впервые публично заявлена компанией Talos в 2018 году. Название 8220 Gang происходит от первоначального использования группой порта 8220 для сетевых коммуникаций C2. Группа несколько эволюционировала от своих первоначальных интересов и использования "WhatMiner", который был форком от другой группы, известной как Rocke. С момента их первого обнаружения продолжалась тенденция к использованию Docker, Hadoop, Redis, Drupal и других сервисов. На основании обнаруженных Talos сведений о репозитории Github и инфраструктуре, группа, предположительно, является китайскоговорящим субъектом угроз.
Жертвами 8220 Gang обычно, но не исключительно, становятся пользователи облачных сетей, в которых работают уязвимые и неправильно сконфигурированные Linux-приложения и сервисы. Атаки используют перебор SSH после заражения для автоматизации локальных и глобальных попыток распространения. Жертвы, использующие облачную инфраструктуру (AWS, Azure, GCP, Aliyun, QCloud), часто заражаются через общедоступные узлы, на которых работают Docker, Confluence, Apache WebLogic и Redis. Жертвы не выбираются географически, а просто определяются по их доступности в Интернет. На момент написания статьи примерно 30 000 систем по всему миру были потенциально заражены ботнетом 8220 Gang.
Сценарий заражения выступает в качестве основного кода для работы ботнета. Несмотря на отсутствие уклонения от обнаружения или обфускации, скрипт очень эффективен при заражении целей. Основная функциональность скрипта широко освещалась в течение нескольких лет, поскольку его повторно использовали многие любительские группы по добыче криптовалюты и лица, стремящиеся к наживе. По этой причине исследователи должны с осторожностью относиться к приписыванию скрипта в полном объеме компании 8220 Gang.
- Подготовка и очистка хоста жертвы, включая удаление распространенных облачных инструментов безопасности.
- Загрузка/конфигурация вредоносного ПО IRC Botnet и майнеров, а также продолжение устранения последствий.
- Проверка и подключение образца вредоносной программы Tsunami IRC Botnet.
- Сканер SSH внутренней сети с возможностью латерального распространения.
- Выполнение криптовалютного майнера PwnRig.
- Сбор локальных SSH-ключей, тестирование подключаемости и латеральное распространение.
8220 Gang и другие группы, использующие этот же скрипт заражения, можно наблюдать, как он меняется несколько раз в месяц. В конце июня 2022 года группа начала использовать отдельный файл под названием "Spirit" для управления некоторыми функциями перебора SSH за пределами скрипта. Spirit содержит список из примерно 450 жестко закодированных учетных данных для перебора SSH. Список включает комбинации имени пользователя root, а также пароли устройств и приложений Linux по умолчанию.
Другой пример эволюции - использование списков блоков. 8220 Gang и другие используют списки блоков в сценарии заражения, чтобы избежать заражения определенных хостов, таких как исследовательские honeypots, что может поставить под угрозу их незаконные усилия. Метод реализации списка блокировки изменился с прямого указания IP-адресов в скрипте на список в дополнительно загружаемом файле. Метод вызова списка в сценарии различается в разных реализациях.
Можно сделать вывод, что тривиальный дизайн скрипта позволяет легко экспериментировать злоумышленникам, и исследователей не должно удивлять добавление или реорганизация определенных функций.
Indicators of Compromise
IPv4
- 159.203.103.62
- 198.23.214.117
- 51.255.171.23
- 51.79.175.139
- 79.110.62.23
- 89.34.27.167
Domains
- a.oracleservice.top
- b.oracleservice.top
- bashgo.pw
- c4k-ircd.pwndns.pw
- givemexyz.in
- givemexyz.xyz
- jira.letmaker.top
- jira.onlypirate.top
- letmaker.top
- onlypirate.top
- oracleservice.top
- pwn.letmaker.top
- pwn.onlypirate.top
- pwn.oracleservice.top
- pwndns.pw
- work.onlypirate.top
URls
- https://cdn.discordapp.com/attachments/994652587494232125/1004395450058678432/miner_Nyrpcmbw.png
SHA1
- 01665c6da2a9711c1b091c50bab2272782664226
- 07756ac7497f4011ce280e5f7d1d1c21ed973cd6
- 08fab9009dcac6e5a9fa265a5f1e1c015f33f21a
- 094a989148421b455feb4a23460d7c833a44934b
- 09778a0a7af741b85bb7d022725bf25b468bba15
- 09beb8d4bf01af519fc83a78adf5abf69594c080
- 0ad5316a897d4d724cb32690675941b60156a463
- 0d780ecea75bf4cc405a777e40da46a49003cb84
- 0f4eaf87aee6275c60c10b7bbf205f4968b5571b
- 155b178be265fecc1d052e43a6ae13e581441d6f
- 165f188b915b270d17f0c8b5614e8b289d2a36e2
- 19958aba7665bfbe7a18e555515c8b3dd0b24fbd
- 1a4cc79937adcce2f2a1c59e8a3ff8d7b75eb843
- 235b8373841e9b8bcee9517c5f2b7b8192975a53
- 26ed095c7102776ed4431e994252e97e9554d0e5
- 2bd28b494f468a6416e297f7b4ead42a429a4683
- 2ddcdddfe05bbc40477e7dfb071d8e4b3eaa0cd7
- 34044407ff14930ae648d0167fac0e1476380ab9
- 34b747135ebb0a6a0af18ba28bf6d62359b261e0
- 398e7149f547ec9a3181d1d033a71fdfb52a7a0d
- 39eb1591ac1952cf32752abcc626da703ecb006c
- 3a5eb4338c7d87e3dfa1ce4dea9e4c5904401f40
- 3b1cd146b31f3b615152456c17498669547fdca5
- 3d8ea93c61029e266c529e1ec1f7fd1c714bd0bb
- 3e4c51160c74c48ee3fb02c1df21448559a51d82
- 3f27ec4f8d4b1df58b41c9e3be8f444596e0a921
- 3fc7734dc537c33398e885630e03d6cea08dcaf1
- 4180c193f366021f1c10890a5bcd2d3ecef47fa7
- 445913e819d166ca72e7d1c7b250b398cf3c0deb
- 44eb23838bcacfcb094f6f9f1a0f8bc27e807e4f
- 45b5c636223fe224d065f856fbb30596cb14b37f
- 48a94f6bd7c58f412d6c546ee296def3a8c26db6
- 490e4bc10302b43aa00c510e457026e8546a91fc
- 4bd8130ea41d3b796e507f46ff0d04db8bdb326a
- 4ce0f5d71ab977ed2501e1559198684113dab48e
- 4e147eeca85185dc8313770709279d31b43c7df0
- 4f28f566f48580efce59908884906469063aec11
- 4fb5b84f29d0b4ecaded0438fc9f7faca2003459
- 5070e48e224627b16cf536356de89387c3c886e1
- 51c829033a92963aa930e53d2b64cf61670d36fc
- 52445f3e47ff90bbf6d8b46687af6ccfb8452831
- 528477d0a2cf55f6e4899f99151a39883721b722
- 538390a7aa6e6678330b2bd775a3d9931fd177b4
- 554677bff4a29bb286ab9d840ac7565d330a26db
- 557d729f8a7ba712a48885304280b564194406d3
- 55d640f245dcc7a43e4535f89993da272ae10479
- 575f9441effcb0688d564733e4cc58743d565a6c
- 58af7af0dbf079bafd8fae1a7b3a2230b2bcba31
- 58ff71135673fad731ae07bb510a46e7184f0b1f
- 5c53e4c53b83885e9ded6fd41ac215015539e89c
- 5cae484e9827067350bfdb5c835fad4db0fae7d8
- 5cf3c2c35b26811806e421a2921ff0c2fb9f25d9
- 5d6a8c0437bdf30079188283b0e60d063e649f27
- 5dc23d673198a13e27e543927a4abd79770ccdaa
- 5e2a6277c7e526734ce1cec573c829fe5c9adfd0
- 5e81f54164e44bd5ef8a3d97b7deb322fe88d8d7
- 6148cd5d3193863f395c1a9675cbf20f47bb7f6e
- 61ac24e100dd0d3408f07b1f9e0ed7ca2e5d8db6
- 62c9f4b9bfb86c201a54ee7ccb8ca0a01fa39517
- 636d5c40108aa635feaaf2c15ddae103d746e51a
- 63eae994b4fa5fe49e26bd00222dcf8de6e13dc5
- 641b8d2ed9ed47ce90ec30f887a82cfef9db64af
- 651fdbfedbc31959b4cfbe83f01da659baec84e4
- 68696b704f9a6b0240316ff67984057b3f040f24
- 6a6974167f0bb7f327c8e2ae3e773d74f379bcc7
- 6ad4f21c5ac559b360ded60fb8308463552c47de
- 6f0c6c2625355b8da466127c6217f89132e13fdf
- 7021e82e50b858c489659e1bd80f19049006c5f0
- 740a1cdee7b7f4350eec53c1ca3022562ea83903
- 7477812278038e8d3606c433f1c4389b897012e2
- 757e3f0517051272be6cc810536fd130d823ad2a
- 75ea4b0b76a0b61bd0f8f4a491e5db918bc1df1c
- 76ecb74747254b857b0822514e53d0b5f7a81d1c
- 78f5d9412655e94284b55292370f2387ebbf52fc
- 798fbb973b7e06465779c48357e500e552a9d4eb
- 79bf00fd518847886c69da3dca068c5ac2bacb80
- 7b128cd6cf092409fc9c71ddd27c66dd98002b1a
- 7bdd4ffa86c069f945ed8d5d9e0089f7536f112b
- 7cdd222e2b4ec9896c53f24381efc6a02c6d1932
- 7fa2baab95c40550164e5bfd4c4057e82a4b41ce
- 800c962a8d57669cd27d68b4205a997c2d86b7c6
- 80c35fc7eb4738878dcd2c9e8fa6e95799278dd8
- 8487ecfbaa456787afbdde178b7e2e140970a38e
- 871f38fd4299b4d94731745d8b33ae303dcb9eaa
- 87ed8ddca4a5d3f1d7267941ce1d817c0c5a7795
- 8953a9a896f90c6a1f3c8f54fd010b50920c0a6e
- 8bb3c9c4036f25244a21e79723086fcec70aec77
- 8c3beeb51860c8869a893f090756fa0dfdf691e3
- 8c7c2a7f1872428b5a1e00431ba97f5f5211aab5
- 8d02d66a4ad12b5531465842124dc50e84b1db39
- 8dbddb5b0ef004b4608c4236d75c784a19e72e6c
- 8e34816e82a189cf607187154eebee2089d75a18
- 8f881f9f8f4754bb2949c7d825dee6035fd84d89
- 90263a77a622a5464ff2c9470b9c40aa324e471d
- 90b5a2cbc29f797bbe6c992f8d993ab337f1db89
- 9229b3a232949df16772595f3fc2bb9ca14b3f86
- 9298221acadac9b12dac4057d123ad0c05b26c22
- 99532847dee9466cbdfdb02db45a4657e45e8c34
- 9b3d75d00b2021e73bb9138501c3cda5eeaead03
- 9b5a448d335c20f23bed7ebcb983e1ea67fc7421
- 9b93a71776480fc36b87329311772b58598bc47d
- 9bc4db76ae77ea98fdcaa9000829840d33faba97
- 9c34c1f55ec052ec4582b8476aa1299fc5264b42
- 9e3194736c344b909addad65f6e69a627adba599
- 9fba0735cf24a06142d9485d22a17b022b3ea725
- a018d55214cf51f951dc5758fa818a45323db8d8
- a06c673ada72e8ec7214e1464b711112bbd9bcfa
- a0a0e2201501a20b77f5194f41b85416dd4ddcb0
- a4b18e8d24a3c5cbbb1a544ba109ab49dce4ac06
- a830eb4cd77e92ee9516357cc47a5243d96fc683
- aafb88c74d5fce9ffc7632c00330e94d6f80b853
- aba592e4f58cb18094ed6423e4777a9f2956b6ba
- ac29e4a8aec19dd115a55f0adf45d8293566767a
- ac3268c067851e7b74d9fc334d2134bfd0037a8e
- acff0bc1b75127ef7502e23f46cf9acc3878766a
- ada2299756eb154b534943c31ffc46474b894dd2
- b00d3376dbd8d9524cbab3ad52378b597d6b6c75
- b305287aa72a74df432daf1a5b7c80c64c08dea4
- b394f1c580abaac90980a868d6e6638d014b2dac
- b400d9ebf27355d600b23d6b397832b1f427ff97
- b8347f76903d25ea62d5b65797e8fea8b18a55f1
- b8f405f77700f703fc0cd4130bac153d3515d0f4
- ba6528c2c49337868dda95ca82f877c4e72f64ec
- bbbccc185f9c545fc56042baf13db5f52b17a27c
- bd8966ce091589c2b78f940bf955d0c8a4b99241
- be53175a3b3e11c1e3ca7b87abb6851479453272
- c1630af40f38f01e94eec2981c5f4f11481ba700
- c1fb3acdfd0627eedfc061e47fc0f5600254dc5b
- c22f9ae02601a52c9dca91c3b4cb3d2221f54b50
- c31f32bb412dfc6be0c833dbcd0965a0a69b2187
- c4851ff2ab8334918247494fb2aeec42c9c6226d
- c537cf320e90a39e7f5e9846e118502802752780
- c57f3f8a4fc0d962a84887b3540788808a48519e
- c86349460658a994e517fede6773e650f8f3ac9b
- c89e70626815f2e632602046c83939fd8d5a5288
- c9b79d50d3588982c1a92b5533f55fe2d8a60657
- c9dfb589ebe9e7daf9fd00040d29bdb0ff20a8ed
- ca76533d3614024046b3cf2b2b166d22327bb859
- caf1e814fba4d9889fa63e8e2fb7de3fc6b006aa
- cc9c21e5091a9e6b8d772090b7a68fa521772835
- ce5413cc02fe84663136ecde86ba063d77077aa1
- d5138d1708d5d77ea86920a217c2033a2e94ad7e
- d5a3c26e5986ba9a24549abc4c96d17eaaef0659
- d61e00bce386a03aaa0efde9ade31e23bb2795f0
- da486a6ff50476c185c5118b1a8a32a5c3023d14
- dbf72af6d1e58aadba6ca0c54e31b276605e0143
- ddde688f6afdff65de7019cefd7c3b08604a0bc3
- de3b342dfb419d7903378ea55b8179d98ec010d7
- de5ea4db77f15855fea8893e4e188ccc2c85547b
- e00a617be872d373f066962eb9d231482d0c7650
- e601833f18a35b2308504521532c284cf53a95da
- e6e29b66c3b0a1a051d001eec24f64b8fa4da184
- e82970f8c693f636104690476f66b37c49949c18
- ed5af8e2ab526991d583631e517cd613ebdc1b41
- ee6787636ea66f0ecea9fa2a88f800da806c3ea6
- f3d132802e10b56551ed59c817cff04680e92411
- f5950d7ce28590a42a9c837dd019c04404340223
- f5ac085147a9e4da35838ea97da7d89de51f9715
- f712066871d6bede64a95a7636795e70fb3f8ac9
- f7e4484a32a1c43f0978b0b9a779fa291d3917a0
- fdc02e772b6e17f01c8cf33dd028184a5775a0bd