threat-actor.jpg

一个名为 8220 Gang 的加密采矿团伙一直在利用 Linux 和云应用程序漏洞将其僵尸网络扩大到 30,000 多台受感染的主机。

该组织是一个低技能、 经济动机的 攻击者,在针对运行易受攻击版本的 Docker、Redis、Confluence 和 Apache 的公开可用系统后感染 AWS、Azure、GCP、Alitun 和 QCloud 主机。

该团伙以前的攻击依赖于公开可用的漏洞利用来破坏 Confluence 服务器。

在获得访问权限后,攻击者使用 SSH 暴力破解进一步传播并劫持可用的计算资源来运行指向无法追踪的矿池的加密矿工。

8220 帮派至少从 2017 年开始就活跃起来,并不被认为是特别复杂的,但感染人数的突然爆炸突显了这些较低级别的参与者在致力于他们的目标时仍然是多么危险和有影响力。

新的战役特征

在SentinelLabs观察和分析的最新活动中, 8220 帮在用于扩展其僵尸网络的脚本中添加了新内容,尽管缺乏专门的检测规避机制,但这段代码足够隐蔽。

从上个月底开始,该组织开始使用专用文件来管理 SSH 暴力破解步骤,其中包含 450 个硬编码凭证,对应于各种 Linux 设备和应用程序。

另一个更新是在脚本中使用阻止列表来排除特定主机的感染,主要涉及安全研究人员设置的蜜罐。

8220 Group 脚本中的新封锁名单功能

8220 Group 脚本中的新黑名单功能 (SentinelLabs)

最后,8220 Gang 现在使用其自定义加密矿工 PwnRig 的新版本,它基于开源门罗币矿工 XMRig。

在最新版本的 PwnRig 中,矿工使用伪造的 FBI 子域,其 IP 地址指向巴西联邦政府域,以创建伪造的矿池请求并掩盖所生成资金的真实目的地。

新的 PwnRig 矿工选项

最新 PwnRig 样本的选项 (SentinelLabs)

扩大采矿规模

不断下降的加密货币价格迫使加密劫持者扩大其业务规模,以便他们能够保持相同的利润。尤其是门罗币,在过去六个月中已经损失了超过 20% 的价值。

预计不断下降的加密货币价格将使加密劫持对威胁参与者的吸引力降低。但是,它将继续成为许多威胁参与者的收入来源。

Tags: none

我有个想法