8220幫云僵尸網絡感染全球3萬臺主機

被稱為 8220 Gang 的犯罪軟件組織在上個月將其 Cloud Botnet 擴展到全球大約 30,000 臺主機。 

SentinelOne 的研究人員報告說，低技能犯罪軟件8220 Gang在上個月已將其 Cloud Botnet 擴展到全球約 30,000 臺主機。 

該團伙專注于感染云主機，通過利用已知漏洞和進行暴力攻擊來部署加密貨幣礦工。

8220 組至少從 2017 年開始就一直處于活躍狀態，威脅參與者是說中文的，該組的名稱來自礦工用來與 C2 服務器通信的端口號 8220。

據微軟研究人員稱，該組織在去年積極更新了其技術和有效載荷。在最近的一次活動中，該組織針對 i686 和 x86_64 Linux 系統，并使用 CVE-2022-26134  (Atlassian Confluence) 和 CVE-2019-2725  (WebLogic) 的 RCE 漏洞進行初始訪問。

專家報告說，該加密貨幣團伙在最近的一次活動中使用了 IRC 僵尸網絡版本、PwnRig 加密貨幣礦工（PwnRig 是開源 XMRig 礦工的自定義版本）和通用感染腳本。

本月，專家們注意到受感染主機的數量從 2000 臺增加到 30,000 臺左右。

這種增長與 Linux 和常見云應用程序漏洞的使用增加以及 Docker、Apache WebLogic 和 Redis 等服務的安全配置不足有關。

“雖然該組織已經運營多年，但到 2021 年年中， 觀察到該僵尸網絡在 全球約有 2000 臺主機運行。本月，我們觀察到利用長期運行的基礎設施集的新活動，使僵尸網絡數量達到今天的大約 30,000 臺受感染主機。” 閱讀專家發布的帖子。 “感染腳本是僵尸網絡運行的主要代碼。盡管它缺乏檢測規避或混淆，但該腳本似乎在感染目標方面非常有效。”

感染腳本是 bot 的核心組件，下面是它執行的操作列表：

1. 受害者主機準備和清理，包括刪除常見的云安全工具。
2. IRC 僵尸網絡惡意軟件和礦工下載/配置和修復持久性。
3. 海嘯 IRC 僵尸網絡惡意軟件樣本驗證和連接。
4. 具有橫向傳播能力的內部網絡 SSH 掃描器。
5. PwnRig 加密貨幣礦工執行。
6. 本地 SSH 密鑰收集、連通性測試和橫向傳播。

8220 Gang 通過互聯網可訪問性識別受害者來選擇受害者。

最新版本的感染腳本使用阻止列表來避免感染特定主機，例如研究人員蜜罐。 

“在過去的幾年里，8220 Gang 慢慢地發展了他們簡單而有效的 Linux 感染腳本，以擴展僵尸網絡和非法加密貨幣礦工。根據我們的觀察，該組織在最近幾周做出了改變，將僵尸網絡擴展到全球近 30,000 名受害者。” 報告結束。“PwnRig、IRC 僵尸網絡和通用感染腳本都非常簡單，并且在目標群體中被機會主義地使用。”

作者： 皮爾路易吉·帕格尼尼