8220挖矿团伙的新玩具：k4spreader

预览

概述

2024年6月17号我们发现了一个VT 0检测的使用c语言编写的ELF样本，这个样本使用变形的upx加壳，脱壳后得到了另一个变形的upx加壳的elf文件，使用cgo的方式编写。经过分析发现这是来自“8220“挖矿团伙的新工具，用来安装其他恶意软件执行，主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为****“k4spreader”****，进一步分析了VT的和蜜罐的数据后，发现k4spreader尚处于开发阶段，但已经出现3个变种，因此在这做一个简单介绍。

“8220“团伙：又被称为“Water Sigbin”，是一个来自中国的、自2017年以来持续活跃的挖矿团伙，2017年11月，使用当时还是0day状态的Weblogic反序列化漏洞（CVE-2017-10271）入侵服务器植入挖矿木马，这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、 未授权访问等漏洞攻击Windows和Linux服务器，随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域，但是加入Tsunami僵尸网络后也可发起DDoS攻击，因此已不单纯是开展恶意挖矿的黑客团伙。

文章重点：

`1）k4spreader属于“8220“挖矿团伙的新工具，是个安装器，视野内最早出现在2024年2月``2）k4spreader用cgo编写，包括系统持久化、下载更新自身、释放其他恶意软件执行``3）k4spreader存在shell版本，整体功能一样，可以理解为k4spreader是shell版本的二进制实现``4）k4spreader目前会释放Tsunami和PwnRig，释放方式包括从C2下载、从自身释放两种方式``5）k4spreader尚处于开发阶段，目前观察到三个版本`

k4spreader的核心流程如下：

详细内容请访问：

https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-cn/

或者点击下方的阅读原文