8220挖矿团伙的新玩具：k4spreader

“8220“团伙：又被称为“Water Sigbin”，是一个来自中国的、自2017年以来持续活跃的挖矿团伙，2017年11月，使用当时还是0day状态的Weblogic反序列化漏洞（CVE-2017-10271）入侵服务器植入挖矿木马，这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、 未授权访问等漏洞攻击Windows和Linux服务器，随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域，但是加入Tsunami僵尸网络后也可发起DDoS攻击，因此已不单纯是开展恶意挖矿的黑客团伙。

文章重点：

1）k4spreader属于“8220“挖矿团伙的新工具，是个安装器，视野内最早出现在2024年2月2）k4spreader用cgo编写，包括系统持久化、下载更新自身、释放其他恶意软件执行3）k4spreader存在shell版本，整体功能一样，可以理解为k4spreader是shell版本的二进制实现4）k4spreader目前会释放Tsunami和PwnRig，释放方式包括从C2下载、从自身释放两种方式5）k4spreader尚处于开发阶段，目前观察到三个版本

k4spreader的核心流程如下：

详细内容请访问：

https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-cn/

原文始发于微信公众号（奇安信XLab）：8220挖矿团伙的新玩具：k4spreader