Търсене
Close this search box.

Изследователи в областта на киберсигурността са открили недокументирани досега полезни товари, свързани с румънскa заплаха на име Diicot, разкривайки потенциала  за извършване на разпределени атаки за отказ на услуга (DDoS).

„Името Diicot е значимо, тъй като това е и името на румънското полицейско звено за борба с организираната престъпност и тероризма“, се казва в техническия доклад на Cado Security. „Освен това артефактите от кампаниите на групата съдържат съобщения и изображения, свързани с тази организация.“

Diicot (с рождено име Mexals) е документирана за първи път от Bitdefender през юли 2021 г., разкривайки използването от страна на извършителя на Go-базиран SSH brute-forcer инструмент, наречен Diicot Brute, за пробив на Linux хостове като част от криптоджакинг кампания.

След това по-рано този април Akamai разкри това, което описа като „възобновяване“ на дейността от 2021 г., за която се смята, че е започнала около октомври 2022 г., като е донесла на престъпниците около 10 000 долара незаконни печалби.

„Атакуващите използват дълга верига от полезни товари, преди в крайна сметка да пуснат криптомайнера Monero“, каза тогава изследователят на Akamai Стив Купчик. „Новите възможности включват използване на модул за червей по протокола Secure Shell (SSH), увеличено отчитане, по-добро замаскиране на полезния товар и нов модул за разпространение в локалната мрежа.“

Последният анализ на Cado Security показва, че групата разгръща и готов ботнет, наречен Cayosin – семейство зловреден софтуер, което споделя характеристики с Qbot и Mirai.

Разработката е знак, че  заплахата вече притежава способността да организира DDoS атаки. Други дейности, осъществявани от групата, включват доксване на конкурентни хакерски групи и разчитане на Discord за командване и контрол и ексфилтрация на данни.

„Внедряването на този агент беше насочено към рутери, работещи с операционната система за вградени устройства OpenWrt, базирана на Linux“, заявиха от компанията за киберсигурност. „Използването на Cayosin демонстрира готовността на Diicot да извършва разнообразни атаки (не само криптоджакинг) в зависимост от вида на целите, с които се сблъсква.“

Веригите за компрометиране на Diicot са останали до голяма степен последователни, използвайки персонализираната SSH програма за грубо насилване, за да се закрепят и да пуснат допълнителен зловреден софтуер, като например варианта Mirai и криптомайнера.

Някои от другите инструменти са следните.

  • Chrome – интернет скенер, базиран на Zmap, който може да записва резултатите от операцията в текстов файл („bios.txt“).
  • Update – Изпълним файл, който извлича и изпълнява SSH brute-forcer и Chrome, ако те не съществуват в системата.
  • History – Скрипт на шел, който е предназначен за изпълнение на Update

Инструментът SSH brute-forcer (известен още като псевдоними), от своя страна, анализира изхода на текстовия файл на Chrome, за да проникне във всеки от идентифицираните IP адреси, и ако успее, установява отдалечена връзка с IP адреса.

След това се изпълняват поредица от команди за профилиране на заразения хост и използването му за разгръщане на криптомайнера или за накарването му да действа като разпространител, ако процесорът на машината има по-малко от четири ядра.

За да се намалят подобни атаки, на организациите се препоръчва да внедрят SSH hardening (укрепване на SSH) и правила на защитната стена, за да ограничат SSH достъпа до определени IP адреси.

„Тази кампания е насочена конкретно към SSH сървъри, изложени в интернет, с включена автентификация с парола“, казват от Cado Security. „Списъкът с потребителски имена/пароли, който те използват, е сравнително ограничен и включва двойки удостоверения по подразбиране и такива, които лесно могат да бъдат загатнати.“

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
Бъдете социални
Още по темата
02/09/2024

Microsoft твърди, че северн...

Екипът за разузнаване на заплахите на...
12/08/2024

Администраторите на WWH-Cl...

Американските правоприлагащи органи са арестували двама...
01/08/2024

CISA и ФБР: DDoS атаките ня...

CISA и ФБР заявиха днес, че...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!