Hadooken 和 K4Spreader：8220 Gang组织的最新武器库

介绍

2024 年 9 月 17 日，Sekoia 的威胁检测与研究 (TDR) 团队通过我们的 Oracle WebLogic 蜜罐发现了一个针对 Windows 和 Linux 系统的值得注意的感染链。攻击者利用 CVE-2017-10271 和 CVE-2020-14883 Weblogic 漏洞部署 Python 和 Bash 脚本，执行K4Spreader恶意软件，然后传播Tsunami后门和加密矿工。对于 Windows 系统，攻击者试图执行旨在通过基于 .NET 的加载程序安装加密矿工的 PowerShell 脚本。

AquaSec在 2024 年 9 月 12 日发布的一份报告中透露，Hadooken 恶意软件是针对 WebLogic 服务器的攻击链中的主要威胁。攻击者利用配置漏洞远程执行代码，部署 shell 和 Python 脚本来下载Hadooken有效负载。该有效负载安装了加密货币挖矿程序和 Tsunami 恶意软件。

Aquasec 案件和我们蜜罐遭受的入侵有许多相似之处。事实上，对有效载荷、TTP（战术、技术和程序）和入侵指标（包括 Monero 钱包）的分析表明，8220 Gang入侵组织 是这些攻击的实施者。

思科 Talos于 2018 年首次记录了入侵组织 8220 Gang 的行踪，据称该组织位于中国，主要利用易受攻击的云环境部署加密挖矿恶意软件。其目标是劫持系统资源来挖掘门罗币加密货币 (XMR)。2018 年，Talos 估计他们在门罗币上的收益为 20 万美元。

这篇博文介绍了这些不同的感染链、与 8220 帮的联系以及与 Aquasec 之前记录的 Hadooken 案例的交叉引用。

初始访问

我们的 WebLogic 蜜罐已活跃数周，自 2024 年 8 月部署以来检测到多次利用尝试。第一次值得注意的入侵与 Hadooken 感染链相匹配，发生在 2024 年 9 月 17 日。攻击者主要利用了 CVE-2020-14883 漏洞，偶尔利用 CVE-2017-10271。 

在 24 小时内，共记录了 15 次攻击尝试，全部来自同一 IP 地址：77.221.151[.]174。此 IP 地址归 Aeza Group Ltd 所有，AS 为 216246（自治系统），与 AquaSec 文章中提到的 IP 的 ASN 和 AS 所有者相同。

CVE-2017-10271

Oracle WebLogic Server 中的这一严重漏洞允许远程执行代码。该漏洞存在于 WebLogic WLS 组件中，攻击者可以发送特制请求来利用 XML 解码器，从而绕过身份验证。无需任何登录凭据即可远程利用此漏洞，从而使攻击者能够执行任意代码并可能控制受影响的系统。

在观察到的案例中，攻击者持续以 4 个 WLS-WSAT 端点为目标，执行用于下载和运行脚本的 shell 命令。 

图 1. CVE-2017-10271 漏洞利用的 pcap

除了 wget 或 curl 之外，该命令还使用不太常见的lwp-download二进制文件来获取下一阶段，标记不同的 TTP。下载的文件是一个名为“ 2.gif ”的 shell 脚本，保存在 /tmp 目录中，采用典型的伪装技术来绕过基于文件名的检测。 

lwp-download的使用、脚本名称（“ c ”）及其行为与 AquaSec 文章中概述的 TTP 密切相关。

CVE-2020-14883

Oracle WebLogic Server 中存在一个严重的远程代码执行 (RCE) 漏洞，会影响管理控制台。攻击者可以通过发送特制的 HTTP 请求来利用此漏洞，无需身份验证，从而在受影响的服务器上执行任意命令。

我们观察到两次不同的利用尝试：一次针对 Linux（m.xml），另一次针对 Windows（m1.xml）。 

• 在 Linux 中，m.xml 文件执行命令下载“ c ”文件，将其保存在 /tmp 中，并包含一个 base64 字符串，该字符串通过 Python 解码并下载另一个名为“ y ”的文件。此行为与 AquaSec 所描述的类似。

图 2. m.xml 的摘录

• 在 Windows 情况下，m1.xml文件运行 PowerShell 命令来下载并执行名为bin.ps1的脚本。

在所有观察到的攻击尝试中，攻击者都将 Linux 和 Windows 系统作为目标，这表明攻击者采取了在没有任何事先侦察的情况下采取机会主义做法的攻击方式。

感染常规

与漏洞利用相关的感染链可以总结如下：利用 WebLogic 漏洞执行脚本，该脚本下载部署加密矿工的加载程序。虽然 Windows 和 Linux 的感染程序通常非常相似，但两者之间还是存在一些差异，如下所述。

Windows

该脚本执行两项主要任务：

• 它从GitHub下载并运行 PowerShell 脚本 (amsi_patch.ps1) - https://github.com/Chainski/AES-Encoder ，旨在绕过 AMSI，防止防病毒软件检测到进一步的脚本。

• 随后，它会分多个阶段解密、解压缩并执行 base64 编码的字符串。最后，它会运行一个 PowerShell 脚本，该脚本会释放并执行名为CCleaner64.exe的 C# 二进制文件。该二进制文件是一个加载程序，用于下载、解密和加载加密货币挖矿程序。

除了使用第三方脚本绕过 AMSI 之外，该感染链与TrendMicro记录的归因于 Gang 8220 的感染链非常相似。

图3. Windows感染例程

装载机

CCleaner 是一个用 .NET 编写的加载器，可执行以下操作：

• 它从指定的 URL 下载文件：“ hxxp://154.213.192[.]44/Ueordwfkay.pdf ”

• 该文件被加载到内存中并使用 3DES 解密，得到 .NET DLL。

• 然后加载 DLL 中的一个类。虽然具体调用过程尚不清楚，但该过程会从“ hxxp://154.213.192[.]44/plugin3.dll ”下载并执行加密的有效负载。

• 最后它启动加密矿工。

加密货币矿工

该加密货币矿工通过 IP 地址为51.222.111[.]116:80 的私人采矿池挖掘门罗币，使用的钱包标识为：46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ。Ahnlab安全应急中心在 2023 年 4 月的一份报告中记录了涉及同一钱包的类似感染链，并将其与8220 Gang联系起来。

图 4. 挖矿活动的 pcap – Windows 案例

Linux

感染从执行两个脚本开始：一个名为“ c ”的 shell 脚本和一个名为“ y ”的 Python 脚本。

• “ c ” 脚本主要执行三项任务：禁用阿里云等云保护工具、下载并执行 Hadooken 负载，以及尝试使用 SSH 在内部网络中传播。为了横向移动，该脚本会检查各种文件，包括 bash 历史记录、“/etc/hosts”和“.ssh/config”。然后，它会建立列表进行迭代，以尝试 SSH 暴力破解。如果成功，它会下载并执行初始感染脚本（“c”脚本）。

• “ y ” 脚本只是下载并运行Hadooken恶意软件。

图5. Linux感染例程

K4Spreader

K4Spreader 是一款基于围棋的恶意软件，在观察到的案例中名为悟空，很可能是对《龙珠》漫画中角色的引用。AquaSec 在其报告中表示，“Hadooken”这个名字是对《街头霸王》游戏中“Surge Fist”攻击的引用。同样，“Goku”这个名字也遵循同样的主题联系。

该恶意软件会执行多项恶意操作：

• 禁用各种云安全机制；

• 搜索并终止竞争的加密挖掘过程以控制资源；

• 部署其他恶意软件，包括 Tsunami 后门和 PwnRig 加密矿工，可能针对 Monero；

• 通过创建两个 crontab 条目来使用 cron 作业建立持久性：一个每 2 分钟执行一次，另一个在“ hxxp://sck-dns[.]cc/c ”上下载“ c ”脚本并每 5 分钟运行一次。

2024年6月，我国网络安全公司XLab也报道了8220团伙使用K4Spreader的情况。

所分析的恶意软件没有经过混淆处理，函数名称非常清晰且具有描述性。虽然大多数都标有英文，但有些是葡萄牙语，考虑到入侵集被认为来自中国，这是出乎意料的。

Tsunami

Tsunami 是一种基于 Linux 的恶意软件，主要用作 DDoS（分布式拒绝服务）机器人。它最初名为 Kaiten，但后来演变为 Tsunami，攻击者利用它通过向目标发送受感染机器的流量来发起大规模 DDoS 攻击。一旦系统受到攻击，Tsunami 就会提供远程控制功能，允许攻击者发出命令，通常利用僵尸网络中的受感染机器。它使用互联网中继聊天 (IRC) 作为其主要命令和控制 (C2) 协议。

三个 IRC C2 服务器配置了 IRC 频道ircbot456@ :

• c4k-ircd.pwndns[.]pw ：是pwn.oracleservice[.]top的别名，指向 IP 地址 80.78.24[.]30。许多可疑域名都链接到此 IP，但 C2 似乎处于非活动状态。

• play.sck-dns[.]cc：该域名指向 IP 地址77.221.149[.]212，并且正常运行。其返回横幅包含模式“ irc.bashgo[.]pw ”。

• IP 地址51.255.171[.]23：该服务器也处于活动状态，并返回相同的“ irc.bashgo[.]pw ”模式。

C2 基于 UnrealIRCd 软件版本 3.2.10.6。这是此开源 IRC 服务器于 2015 年 12 月发布的旧版本。通过利用此信息和登录横幅中发现的模式，可以使用 Censys 引擎跟踪 C2 服务器。经过分析，搜索结果仅返回从恶意软件配置中识别出的 C2。

K4Spreader 和 Hadooken 都使用“ sck-dns[.]cc ”域下载“ c ”脚本，以保持持久性。然而，Tsunami 使用相同的域作为其命令和控制服务器。链接到此域的 IP 地址属于由 Aeza 运营的 AS 210644。值得注意的是，攻击 IP 也来自此 AS，突显了这些操作与这些攻击中使用的基础设施之间存在潜在联系。

在 2022 年 7 月的一篇文章中，Sentinel One已经将这些 IOC 与 Tsunami 和 8220 Gang 入侵事件联系起来。

破解

部署的挖矿软件是 PwnRig，是 XMRig 的一个变种。它通过“ run.on-demand[.]pw ”上的私有代理挖矿池来挖掘门罗币。该域名指向三个 IP 地址（分析时）：

• 198.199.85[.]230

• 64.227.170[.]227

• 157.230.29[.]135

在 Windows 和 Linux 情况下，配置为采矿池代理的 IP 地址均基于 GitHub 上提供的相同工具 xmr-node-proxy。可以使用 Censys 工具跟踪这些代理，该工具基于Dockerfile上定义的默认横幅或 TLS 证书。搜索返回大约五十台服务器。

图 6：Censys 对挖矿代理的 TLS 证书的概述

PwnRig 使用cron 任务建立持久性，并利用/etc/init.d/和systemd服务在重启后仍可在受感染的系统上保持持久性。使用的钱包与 Windows 案例相同：46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ。 

图 7：挖矿活动的 pcap – Linux 案例

估计入侵者目前的收益颇具挑战性。由于存在可疑活动，该钱包已被某些挖矿平台（如 XMRPool）禁止使用。这表明，除了使用挖矿代理外，该组织可能还运营着自己的挖矿池，这进一步增加了评估其财务收益的难度。

与 Hadooken重叠

该感染链与 AquaSec 报告的 Hadooken 案例有许多相似之处。

• 初始访问：两次入侵都以 WebLogic 服务器为目标，源自同一 AS，使用相似的脚本名称（“ c ”和“ y ”）并使用不常见的 lwp-download 二进制文件。

• 感染链：“ c ”脚本部署主恶意软件（Hadooken 或 K4Spreader）并尝试 SSH 传播，而“ y ”则投放中心恶意软件。两个有效载荷都部署了 PwnRig 和 Tsunami。

• 有效载荷：

• Hadooken 和 K4Spreader 都通过 crontab 建立持久性，以在“ hxxp://sck-dns[.]cc/c ”上下载 c 脚本。  

• PwnRig 有效载荷在两种情况下具有相同的哈希值，并使用相同的代理“ run.on-demand[.]pw ”和钱包。

根据感染链、攻击方法和使用的有效载荷的相似性，Hadooken 和 K4Spreader 活动背后很可能是同一组入侵者。使用相似的匹配脚本名称（“ c ”和“ y ”）、共享挖矿代理、相同的有效载荷哈希和相同的 Monero 钱包都指向一个独特的操作。 

对 Hadooken 和 K4Spreader 的比较分析表明，它们是两种不同的基于 Go 的恶意软件变体，功能相似。虽然 Hadooken 的代码不包含任何葡萄牙语术语，但 Hadooken 字符串中存在 K4Spreader 模式表明两者之间存在联系，而这种联系不太可能是巧合。需要对更大的样本进行更广泛的分析，以确定这些恶意软件变体之间是否存在任何联系。

结论

入侵蜜罐时观察到的策略、技术、程序、有效载荷和攻击指标强烈表明 8220 团伙参与其中。攻击中使用的工具和方法与该组织的已知模式一致。本案中发现的恶意活动和基础设施与之前记录的 8220 团伙活动相符。

通过与 AquaSec 记录的 Hadooken 入侵事件进行进一步交叉引用，可以加强与 8220 Gang 的联系。两次入侵事件都具有共同元素，包括类似的 TTP、类似加密挖矿恶意软件的有效载荷和 IOC。这些相似之处提供了强有力的证据，表明同一入侵集对两次攻击负责，进一步巩固了与 8220 Gang 活动的联系。

受害者分析表明，入侵者特别关注南美洲，这可能是因为最近有一名巴西操作员加入了该团队。然而，这仍然是一个需要进一步验证的工作假设。

这些案例表明 8220 团伙仍然活跃，并不断改进其技术和有效载荷。他们不断利用云环境，加上他们调整和增强恶意软件工具的能力，表明他们仍然是一个机会主义威胁。

IoC

IoC列表可在Sekoia.io GitHub 存储库中找到-https://github.com/SEKOIA-IO/Community/blob/main/IOCs/8220Gang/8220_Gang_iocs_20242409.csv