概述
2024年6月17号我们发现了一个VT 0检测的使用c语言编写的ELF样本,这个样本使用变形的upx加壳,脱壳后得到了另一个变形的upx加壳的elf文件,使用cgo的方式编写。经过分析发现这是来自“8220“挖矿团伙的新工具,用来安装其他恶意软件执行,主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为****“k4spreader”****,进一步分析了VT的和蜜罐的数据后,发现k4spreader尚处于开发阶段,但已经出现3个变种,因此在这做一个简单介绍。
“8220“团伙:又被称为“Water Sigbin”,是一个来自中国的、自2017年以来持续活跃的挖矿团伙,2017年11月,使用当时还是0day状态的Weblogic反序列化漏洞(CVE-2017-10271)入侵服务器植入挖矿木马,这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、 未授权访问等漏洞攻击Windows和Linux服务器,随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域,但是加入Tsunami僵尸网络后也可发起DDoS攻击,因此已不单纯是开展恶意挖矿的黑客团伙。
文章重点:
`1)k4spreader属于“8220“挖矿团伙的新工具,是个安装器,视野内最早出现在2024年2月``2)k4spreader用cgo编写,包括系统持久化、下载更新自身、释放其他恶意软件执行``3)k4spreader存在shell版本,整体功能一样,可以理解为k4spreader是shell版本的二进制实现``4)k4spreader目前会释放Tsunami和PwnRig,释放方式包括从C2下载、从自身释放两种方式``5)k4spreader尚处于开发阶段,目前观察到三个版本`
k4spreader的核心流程如下:
详细内容请访问:
https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-cn/
或者点击下方的阅读原文