8220 Gang 已将其云服务僵尸网络扩展到全球约 30,000 台主机

2022 年 7 月，8220 Gang通过已知漏洞和远程访问暴力破解感染媒介感染云主机。注意到 8220 Gang 已将其云服务僵尸网络扩展到全球约 30,000 台主机。最近几周，该组织轮换了其攻击基础设施，并继续将受感染的主机吸收到其僵尸网络中，并分发加密货币挖掘恶意软件。

配置错误是感染尝试的关键

来自 8220 Gang 的利用尝试继续以与我们之前的报告一致的速度进行。大多数活跃的受害者仍在运行 Docker、Apache、WebLogic 和各种Log4J易受攻击的服务的过时或配置错误的版本。
8220 Gang通过扫描公共互联网上配置错误或易受攻击的主机来识别目标。受害者通常使用云基础设施，如 AWS、Azure 和类似配置错误的实例，允许远程攻击者获得访问权限。运行 Docker、Confluence、Apache WebLogic 和 Redis 的可公开访问的主机很容易被发现和攻击，而无需太多技术知识。众所周知，8220 Gang 在感染后使用 SSH 暴力攻击，以在受感染的网络内进行横向移动。
最近作为矿工机器人进行通信的主要受害者暴露在运行过时的网络控制器软件或 Prometheus 容器监控系统的 Ubiquiti Unifi Cloud Keys 中。利用的漏洞通常远非新鲜——例如 CVE-2019-2725——被利用来下载安装程序脚本的 Oracle Weblogic 漏洞，例如871f38fd4299b4d94731745d8b33ae303dcb9eaa。感染尝试的目标继续是发展僵尸网络并在可能的情况下扩大加密货币主机挖掘。

8220 Gang 利用 PureCrypter
我们观察到 8220 Gang 使用PureCrypter Malware-as-a-service。PureCrypter 是一种自 2021 年以来以低成本提供的加载程序服务，并且已被观察到分发大量商品恶意软件。PureCrypter 下载器通过该组织的传统 C2 基础设施（最常见的是89.34.27[.]167. 然后，下载器会在注入器图像扩展 URL 之后返回信标。还可以观察到使用 Discord URL 下载非法未成年人。
一个明显的例子是矿工ee6787636ea66f0ecea9fa2a88f800da806c3ea6在妥协后交付。此加载程序向 Discord 发送信标：
https: //cdn.discordapp[.]com/attachments / 994652587494232125 / 1004395450058678432 /miner_Nyrpcmbw[.]png
和下载833cbeb0e748860f41b4f0192502b817a09eff6a，最终在受害者主机上开始加密。
发现 8220 Gang 尝试新的装载机和矿工以及他们对公开服务的传统利用尝试并不令人惊讶。随着威胁形势的发展，我们可以预期威胁参与者会寻求新的方法来挫败防御，隐藏他们的活动，并通常试图增加攻击的成功率。这只是尝试这样做的 8220 Gang 的新迭代。

转移基础设施
自 7 月以来，8220 Gang 转而使用89.34.27[.]167，然后在 2022 年 9 月上旬将其基础架构轮换为79.110.62[.]23，主要依赖于先前报告的两个域letmaker[.]top和oracleservice[.]top.
8220 Gang 还在 51.79.175[.]139 使用矿工代理。被非法矿工感染的主机将与代理通信，因为它作为一个池来组合资源并避免分析其累积的挖矿指标。

业余工具滥用猖獗
正如我们过去报道的那样，围绕 8220 Gang 活动的脚本、矿工和基础设施源于对已知工具的普遍重用。“脚本小子”可能是一个更适合行业的名称。对工具和漏洞的高层次分析揭示了更广泛的非法活动。
例如，通过GreyNoise数据，我们可以看到过去 30 天内 CVE-2019-2725 爬虫的常见程度。8220 Gang 和其他攻击者利用扫描和利用类似的 n-day 漏洞成功。一种理论可能是，这些类型的攻击者会寻找像这样容易破坏的系统，因为它们不太可能被快速修复，因为它们甚至不符合常见的更新实践。无论漏洞管理的状态如何，这些攻击者都能成功运行。人们可以将此类攻击视为目标的底部馈线。

通过运行公共云服务的可公开访问的主机和蜜罐来观察加载程序脚本也非常常见。该脚本甚至在一年内也有了很大的发展，有许多变体，作为一个单一的名称（例如Carbine Loader），它不再有用跟踪。例如，在 VirusTotal 中搜索包含常用云安全工具的卸载命令以及唯一变量名称的任何 shell 脚本，会导致数百个最近的结果。8220 Gang 只是众多滥用相同脚本以保持其僵尸网络存活的其中之一。

结论
8220 Gang 继续他们的僵尸网络扩散努力，转向新的基础设施。该组织继续使用相同的挖矿代理服务器，防御者应调查到该目的地的任何持续流量。此外，通过对 PureCrypter MaaS 的试验，该组织显然已经尝试改进他们的攻击努力。由于云基础设施和常见的可公开访问的服务仍然容易受到攻击，我们预计 8220 Gang 将在未来继续增长。

原文来自: t00ls.com