<p><br /><img style=”margin: 10px; float: left;” src=”https://899029.smushcdn.com/2131410/wp-content/uploads/2022/07/Copy-of-From-the-Front-Lines-8220-Gang-Grows-Cloud-Botnet-3.jpg?lossy=0&strip=1&webp=0″ alt=”” width=”389″ height=”203″ />Vulnerabilidades conhecidas vêm sendo exploradas continuamente, com sucesso, por grupos hackers pouco sofisticados. Nesta segunda-feira (18), a SentinelOne, única no mundo com soluções de cibersegurança, baseadas em IA, que incluem prevenção, detecção, resposta e caça a ataques, comunicou o impressionante aumento no número de máquinas, que usam Linux, infectadas a partir de vulnerabilidades comuns de aplicativos em nuvem e configurações mal protegidas.</p>
<p>“O grupo de crimeware 8220 Gang vem expandindo, sua botnet para cerca de 30 mil hosts em todo o mundo, usando o Linux e vulnerabilidades comuns de aplicativos em nuvem e configurações mal protegidas. Em uma campanha recente, o grupo usou uma nova versão do botnet IRC, minerador de criptomoedas PwnRig, e seu script de infecção genérico. No momento da redação deste artigo, em 18 de julho, cerca de 30 mil sistemas em todo o mundo já haviam sido infectados com o botnet 8220 Gang”, diz o comunicado da SentinelOne.</p>
<p>Tom Camargo, VP da CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud, e que distribui as soluções da SentinelOne, explica que os botnets são redes de computadores infectados e controlados remotamente por hackers. “Os ‘soldados’ do 8220 Gang são ‘recrutados’ entre usuários que operam aplicativos e serviços Linux vulneráveis e mal configurados”.</p>
<p>Camargo ressalta que sem o uso de inteligência artificial para prevenir, detectar, responder e caçar ataques, de forma autônoma, em todos os endpoints, contêineres, aplicativos em nuvem e dispositivos IoT, o número de infecções vai continuar a crescer. “Vemos neste caso como vulnerabilidades conhecidas ainda são exploradas <s>e</s> com êxito por grupos de cibercriminosos não muito especializados. As 30 mil infecções foram conseguidas com métodos de força bruta, ou seja, tentativa e erro”, comenta.</p>
<p>Esses ataques usam métodos de tentativa e erro em protocolo SSH (Secure Socket Shell), específico para troca de arquivos entre usuário e servidor, pós-infecção para automatizar as tentativas de disseminação. As vítimas que usam a infraestrutura de nuvem (AWS, Azure, GCP, Aliyun, QCloud) geralmente são infectadas por meio de hosts acessíveis publicamente executando Docker, Confluence, Apache WebLogic e Redis. Sendo identificadas apenas por seu acesso à internet.</p>
<p>Nos últimos anos, o 8220 Gang desenvolveu scripts simples, mas eficazes, de infecção do Linux, para expandir um botnet e um minerador de criptomoedas ilícito. PwnRig, IRC Botnet e script de infecção genérico são incrivelmente simples e usados de forma oportunista na segmentação de grupos.</p>
<p>Informações adicionais sobre o grupo e os métodos de recentes ataques</p>
<p>O 8220 Gang é um dos muitos grupos de crimeware de baixa qualificação, que vem infectando continuamente hosts de nuvem e operando um botnet para usar as vítimas como mineradores de criptomoedas. Também conhecido como 8220 Mining Group, o 8220 Gang opera há anos, e foi descoberto pela Talos em 2018. Acredita-se que seus integrantes sejam chineses.</p>
<p>Script de infecção de botnet na nuvem 8220</p>
<p>O script de infecção atua como o código principal para o botnet operar. Apesar de sua falta de evasão ou ofuscação de detecção, o script parece ser altamente eficaz em infectar alvos. Sua principal funcionalidade tem sido amplamente divulgada há vários anos, sendo reutilizada por muitos grupos amadores de mineração de criptomoedas e pessoas em busca de lucro. “Por esse motivo, os pesquisadores devem ter cuidado ao atribuir o script em sua totalidade ao 8220 Gang”, avalia a SentinelOne.</p>
<p>A SentinelOne resume as ações do script, descrevendo-o como notoriamente feio e com funções não utilizadas ou desatualizadas, o que permite o rastreamento trivial ao longo do tempo.</p>
<p>1. Preparação e limpeza do host da vítima, incluindo a remoção de ferramentas comuns de segurança na nuvem;<br />2. Malware IRC Botnet e download/configuração de mineradores e persistência de remediação;<br />3. Validação e conectividade de amostra de malware Tsunami IRC Botnet;<br />4. Scanner SSH de rede interna com capacidade de espalhamento lateral;<br />5. Execução do minerador de criptomoedas PwnRig;<br />6. Coleta de chave SSH local, teste de conectividade e disseminação lateral.</p>
<p><strong>Como o grupo opera</strong></p>
<p>8220 Gang e outros grupos que fazem uso desse mesmo script de infecção podem ser observados alterando-o várias vezes por mês. A SentinelOne informa que, no fim de junho de 2022, o grupo começou a usar um arquivo separado que eles chamam de “Spirit” para gerenciar algumas das funcionalidades de força bruta SSH fora do script. O Spirit contém uma lista de aproximadamente 450 credenciais codificadas para força bruta SSH. A lista inclui combinações do nome de usuário e senhas padrão de dispositivo e aplicativo Linux.</p>
<p>Outro exemplo de evolução é o uso de listas de bloqueio. 8220 Gang e outros fazem uso de listas de bloqueio no script de infecção para evitar infectar hosts específicos, como honeypots de pesquisadores, que podem colocar seus esforços ilícitos em risco. Ao analisar o comportamento do grupo, a SentinelOne detectou que o método de implementação da lista de bloqueio mudou de IPs diretos listados no script para uma lista em um arquivo adicional baixado. O método de chamar a lista no script varia entre as implementações.</p>
<p>“O que podemos concluir é que o projeto trivial do script permite a experimentação simples do invasor e não deve surpreender os pesquisadores quando uma funcionalidade específica é adicionada ou reorganizada”, diz a SentinelOne.</p>
<p><strong>Atualização do Minerador PwnRig</strong></p>
<p>O PwnRig é uma versão personalizada do minerador XMRig de código aberto que ganhou seu nome com base nas strings que o autor usava em suas primeiras versões. Versões mais recentes do PwnRig continuam usando o mesmo nome do autor, enquanto algumas funcionalidades do minerador foram atualizadas.</p>
<p>Um dos recursos notáveis do PwnRig é a solicitação de pool falso para domínios governamentais. Camargo explica que em um pool request verdadeiro, a alteração no código de um repositório proposta é compartilhada com seus mantenedores (quem têm permissão de escrita), que podem revisá-la antes de aprovar e incorporar a alteração.</p>
<p>As versões do início de 2021 usavam <a href=”http://fbi.gov/” target=”_blank” data-saferedirecturl=”https://www.google.com/url?q=http://fbi.gov&source=gmail&ust=1658853308144000&usg=AOvVaw3Ej6UcnpuNT6Xei9MX36F1″>fbi.gov</a>; no entanto, a versão mais recente usa <a href=”http://fbi.gov.br/” target=”_blank” data-saferedirecturl=”https://www.google.com/url?q=http://fbi.gov.br&source=gmail&ust=1658853308144000&usg=AOvVaw09erfGsfbTPlBIdZ_AVTSD”>fbi.gov.br</a> e 161.148.164.31. Embora o subdomínio do FBI não seja real, o endereço IP é o IP ativo que hospeda o domínio <a href=”http://gov.br/” target=”_blank” data-saferedirecturl=”https://www.google.com/url?q=http://gov.br&source=gmail&ust=1658853308144000&usg=AOvVaw1vnwn1NzolQt9PVUVntQo2″>gov.br</a> – o verdadeiro domínio do governo federal brasileiro.</p>
<p><br /><br /></p>
<p> </p>
<p> </p>
