8220 Gang Bajak 30.000 Host Untuk Cryptojacking
Kelompok cryptomining 8220 telah berkembang hingga mencakup hingga 30.000 host yang dibajak, naik dari 2.000 host secara global pada pertengahan 2021.
"8220 Gang adalah salah satu dari beberapa kelompok crimeware berketerampilan rendah kami terus mendeteksi menginfeksi host cloud dan mengoperasikan botnet dan cryptocurrency miner menggunakan kerentanan yang diketahui dan remote access brute forcing infection vector," kata Tom Hegel dari SentinelOne dalam sebuah laporan yang dirilis pada hari Senin.
Penggunaan Linux dan kerentanan aplikasi cloud umum, serta konfigurasi yang tidak cukup terlindungi untuk layanan seperti Docker, Apache WebLogic, dan Redis, diduga telah mendorong ekspansi.
Aktor ancaman Monero-mining berbahasa Cina telah aktif sejak awal 2017, baru-baru ini menargetkan sistem Linux i686 dan x86 64 dengan mempersenjatai serangan remote code execution baru-baru ini untuk Atlassian Confluence Server (CVE-2022-26134) untuk menjatuhkan payload PwnRig miner.
“Korban tidak ditargetkan secara geografis, tetapi hanya diidentifikasi berdasarkan koneksi internetnya,” jelas Hegel.
Selain menjalankan PwnRig cryptocurrency miner, skrip infeksi diprogram untuk menghapus alat keamanan cloud dan melakukan brute forcing SSH menggunakan daftar 450 kredensial hard-code untuk menyebar secara lateral ke seluruh jaringan.
Versi skrip yang lebih baru juga diketahui menggunakan daftar blokir untuk mencegah penyusupan situs tertentu, seperti server honeypot, yang mungkin memperingatkan mereka tentang aktivitas ilegal mereka.
Cryptominer PwnRig, yang didasarkan pada open source Monero miner XMRig, juga telah menerima pembaruan, membuat permintaan kumpulan nakal dan menyembunyikan tujuan sebenarnya dari uang yang dihasilkan dengan menggunakan subdomain FBI palsu dengan alamat IP yang menunjuk ke domain pemerintah federal Brasil yang sah.
Peningkatan operasi juga dilihat sebagai upaya untuk mengimbangi penurunan nilai cryptocurrency, serta menyoroti "pertarungan" yang meningkat untuk mendapatkan kendali atas sistem korban dari kelompok lain yang berfokus pada cryptojacking.
"8220 Gang telah secara progresif meningkatkan skrip infeksi Linux dasarnya, namun berhasil, selama tiga tahun terakhir untuk memperluas botnet dan cryptocurrency miner ilegal," Hegel menyimpulkan. "Dalam beberapa minggu terakhir, kelompok telah melakukan perubahan untuk memperluas botnet menjadi sekitar 30.000 korban di seluruh dunia."