El grupo de hackers 8220 es conocido por implementar malware de “cryptojacking” que explota vulnerabilidades y apunta a servidores web tanto de Windows como de Linux.
Según se informa, el grupo tiene acceso al código fuente de estos sistemas operativos, lo que aumenta su capacidad para llevar a cabo ataques de fuerza bruta y RCE.
Los investigadores de ciberseguridad de Sekoia han descubierto que el grupo de hackers 8220 ha añadido recientemente dos herramientas importantes a su arsenal. Las herramientas son “Hadooken” y “K4Spreader”.
El grupo de hackers 8220 es un actor de amenazas chino conocido desde 2018 por atacar entornos de nube e implementar malware de criptominería.
El 17 de septiembre de 2024, el equipo de investigación y detección de amenazas de Sekoia identificó un ciberataque avanzado dirigido a sistemas Windows y Linux a través de honeypots de Oracle WebLogic.
Los atacantes, que se cree que son la banda 8220, explotaron dos vulnerabilidades críticas:
CVE-2017-10271 CVE-2020-14883
Estas vulnerabilidades podrían permitir la ejecución remota de código sin autenticación.
La cadena de infección incluyó la implementación de scripts Python y Bash para ejecutar el malware K4Spreader, que luego entregó la puerta trasera Tsunami y el criptominero.
Para los sistemas Windows, el atacante intentó ejecutar un script de PowerShell diseñado para instalar un criptominero a través de un cargador basado en .NET llamado CCleaner64.exe.
Rutina de infección de Windows (Fuente – Sekoia)
La infección de Linux aprovechó los scripts llamados 'c' e 'y' para implementar malware Hadoken, deshabilitar las herramientas de protección de la nube e intentar el movimiento lateral mediante ataques de fuerza bruta SSH.
Rutina de infección de Linux (Fuente – Sekoia)
Las infecciones tanto en Windows como en Linux instalan PwnRig, una variante del minero de criptomonedas XMRig Monero.
El atacante usa una billetera Monero específica ('46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ') y una dirección IP como '51.222.111.116:80'. piscina con “
El malware Tsunami es un bot DDoS basado en Linux que utiliza “Internet Relay Chat (IRC)” de C2 para acceder a dominios como “c4k-ircd(.)pwndns(.)pw” y “play(.)sck-dns”. Tengo un servidor encendido. (.)cc”
Este ataque comparte muchas similitudes con incidentes que involucran 'Common TTP' y 'IoC' reportados por AquaSec el 12 de septiembre de 2024, lo que implica fuertemente a la pandilla 8220.
Esta cadena de infección muestra similitudes significativas con el incidente de Hadoken, lo que apunta a un actor común, probablemente la banda 8220.
Ambos usan scripts similares ('c' e 'y') para apuntar al 'Servidor WebLogic' y usan 'lwp-download binario' para el acceso inicial.
El malware se implementa a través de estos scripts, donde 'c' instala la carga útil principal ('Hadooken' o 'K4Spreader') e intenta la 'propagación SSH', y 'y' elimina el 'malware central'.
Ambos ataques implementaron el 'criptominero PwnRig' y la 'botnet Tsunami', establecieron persistencia a través de scripts 'crontab' y 'c' desde 'hxxp://sck-dns(.)cc/c'.
La carga útil “PwnRig” utiliza el mismo hash, proxy (run.on-demand(.)pw) y billetera Monero en todos los casos.
El análisis sugiere que 'Hadooken' y 'K4Spreader' están separados pero relacionados con el malware 'basado en Go'.
El monitoreo de víctimas a través del canal Tsunami IRC reveló “200-250” máquinas comprometidas, principalmente en servicios en la nube como Oracle Cloud.
IP infectados por el tsunami (Fuente – Sekoia)
Además de esto, el análisis de Shodan encontró que algunas de las IP afectadas albergaban software vulnerable como “Drupal” y “Apache Struts”.
Geográficamente, los daños se concentran en Asia y América del Sur, y Brasil parece verse especialmente afectado por el “nombre de función portugués” incluido en el código “K4Spreader”.
Esta victimización es consistente con las actividades conocidas de la pandilla china 8220 con operadores brasileños ampliados.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
8220 Hacker Group Added Hadooken & K4Spreader Tools To Their Arsenal
