“8220“团伙:又被称为“Water Sigbin”,是一个来自中国的、自2017年以来持续活跃的挖矿团伙,2017年11月,使用当时还是0day状态的Weblogic反序列化漏洞(CVE-2017-10271)入侵服务器植入挖矿木马,这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、 未授权访问等漏洞攻击Windows和Linux服务器,随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域,但是加入Tsunami僵尸网络后也可发起DDoS攻击,因此已不单纯是开展恶意挖矿的黑客团伙。
文章重点:
1)k4spreader属于“8220“挖矿团伙的新工具,是个安装器,视野内最早出现在2024年2月2)k4spreader用cgo编写,包括系统持久化、下载更新自身、释放其他恶意软件执行3)k4spreader存在shell版本,整体功能一样,可以理解为k4spreader是shell版本的二进制实现4)k4spreader目前会释放Tsunami和PwnRig,释放方式包括从C2下载、从自身释放两种方式5)k4spreader尚处于开发阶段,目前观察到三个版本
k4spreader的核心流程如下:
详细内容请访问:
https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-cn/
原文始发于微信公众号(奇安信XLab):8220挖矿团伙的新玩具:k4spreader
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论