8220 Gang - группа по добыче криптовалют, использующая уязвимости Linux и облачных приложений для роста своего ботнета. Группа успешно создала ботнет, состоящий из более чем 30 000 зараженных узлов.
8220 Gang APT
8220 Gang, также известная как 8220 Mining Group, была впервые публично заявлена компанией Talos в 2018 году. Название 8220 Gang происходит от первоначального использования группой порта 8220 для сетевых коммуникаций C2. Группа несколько эволюционировала от своих первоначальных интересов и использования "WhatMiner", который был форком от другой группы, известной как Rocke. С момента их первого обнаружения продолжалась тенденция к использованию Docker, Hadoop, Redis, Drupal и других сервисов. На основании обнаруженных Talos сведений о репозитории Github и инфраструктуре, группа, предположительно, является китайскоговорящим субъектом угроз.
Жертвами 8220 Gang обычно, но не исключительно, становятся пользователи облачных сетей, в которых работают уязвимые и неправильно сконфигурированные Linux-приложения и сервисы. Атаки используют перебор SSH после заражения для автоматизации локальных и глобальных попыток распространения. Жертвы, использующие облачную инфраструктуру (AWS, Azure, GCP, Aliyun, QCloud), часто заражаются через общедоступные узлы, на которых работают Docker, Confluence, Apache WebLogic и Redis. Жертвы не выбираются географически, а просто определяются по их доступности в Интернет. На момент написания статьи примерно 30 000 систем по всему миру были потенциально заражены ботнетом 8220 Gang.
Действия скрипта заражения можно обобщить в следующие группы:
- Подготовка и очистка хоста жертвы, включая удаление распространенных облачных инструментов безопасности.
- Загрузка/конфигурация вредоносного ПО IRC Botnet и майнеров, а также продолжение устранения последствий.
- Проверка и подключение образца вредоносной программы Tsunami IRC Botnet.
- Сканер SSH внутренней сети с возможностью латерального распространения.
- Выполнение криптовалютного майнера PwnRig.
- Сбор локальных SSH-ключей, тестирование подключаемости и латеральное распространение.
Скрипт, как известно, некрасив и часто содержит неиспользуемые или устаревшие функции, что позволяет тривиально отслеживать его со временем.
Известны следующие кампании, которые могут быть связаны с 8220 Gang:
- CVE-2022-26134
Indicators of Compromise
IPv4
- 51.255.171.23
- 51.79.175.139
- 89.34.27.167
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые 8220 Gang.
| ID | Техника | CWE | Описание | Доверие |
| 1 | T1006 | CWE-22 | Обход имени пути | Высокий |
| 2 | T1055 | CWE-74 | Инъекция | Высокий |
| 3 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |
| 4 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |