Изследователи в областта на киберсигурността са открили недокументирани досега полезни товари, свързани с румънскa заплаха на име Diicot, разкривайки потенциала за извършване на разпределени атаки за отказ на услуга (DDoS).
„Името Diicot е значимо, тъй като това е и името на румънското полицейско звено за борба с организираната престъпност и тероризма“, се казва в техническия доклад на Cado Security. „Освен това артефактите от кампаниите на групата съдържат съобщения и изображения, свързани с тази организация.“
Diicot (с рождено име Mexals) е документирана за първи път от Bitdefender през юли 2021 г., разкривайки използването от страна на извършителя на Go-базиран SSH brute-forcer инструмент, наречен Diicot Brute, за пробив на Linux хостове като част от криптоджакинг кампания.
След това по-рано този април Akamai разкри това, което описа като „възобновяване“ на дейността от 2021 г., за която се смята, че е започнала около октомври 2022 г., като е донесла на престъпниците около 10 000 долара незаконни печалби.
„Атакуващите използват дълга верига от полезни товари, преди в крайна сметка да пуснат криптомайнера Monero“, каза тогава изследователят на Akamai Стив Купчик. „Новите възможности включват използване на модул за червей по протокола Secure Shell (SSH), увеличено отчитане, по-добро замаскиране на полезния товар и нов модул за разпространение в локалната мрежа.“
Последният анализ на Cado Security показва, че групата разгръща и готов ботнет, наречен Cayosin – семейство зловреден софтуер, което споделя характеристики с Qbot и Mirai.
Разработката е знак, че заплахата вече притежава способността да организира DDoS атаки. Други дейности, осъществявани от групата, включват доксване на конкурентни хакерски групи и разчитане на Discord за командване и контрол и ексфилтрация на данни.
„Внедряването на този агент беше насочено към рутери, работещи с операционната система за вградени устройства OpenWrt, базирана на Linux“, заявиха от компанията за киберсигурност. „Използването на Cayosin демонстрира готовността на Diicot да извършва разнообразни атаки (не само криптоджакинг) в зависимост от вида на целите, с които се сблъсква.“
Веригите за компрометиране на Diicot са останали до голяма степен последователни, използвайки персонализираната SSH програма за грубо насилване, за да се закрепят и да пуснат допълнителен зловреден софтуер, като например варианта Mirai и криптомайнера.
Някои от другите инструменти са следните.
Инструментът SSH brute-forcer (известен още като псевдоними), от своя страна, анализира изхода на текстовия файл на Chrome, за да проникне във всеки от идентифицираните IP адреси, и ако успее, установява отдалечена връзка с IP адреса.
След това се изпълняват поредица от команди за профилиране на заразения хост и използването му за разгръщане на криптомайнера или за накарването му да действа като разпространител, ако процесорът на машината има по-малко от четири ядра.
За да се намалят подобни атаки, на организациите се препоръчва да внедрят SSH hardening (укрепване на SSH) и правила на защитната стена, за да ограничат SSH достъпа до определени IP адреси.
„Тази кампания е насочена конкретно към SSH сървъри, изложени в интернет, с включена автентификация с парола“, казват от Cado Security. „Списъкът с потребителски имена/пароли, който те използват, е сравнително ограничен и включва двойки удостоверения по подразбиране и такива, които лесно могат да бъдат загатнати.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.