Изследователи в областта на киберсигурността са открили недокументирани досега полезни товари, свързани с румънскa заплаха на име Diicot, разкривайки потенциала  за извършване на разпределени атаки за отказ на услуга (DDoS).

„Името Diicot е значимо, тъй като това е и името на румънското полицейско звено за борба с организираната престъпност и тероризма“, се казва в техническия доклад на Cado Security. „Освен това артефактите от кампаниите на групата съдържат съобщения и изображения, свързани с тази организация.“

Diicot (с рождено име Mexals) е документирана за първи път от Bitdefender през юли 2021 г., разкривайки използването от страна на извършителя на Go-базиран SSH brute-forcer инструмент, наречен Diicot Brute, за пробив на Linux хостове като част от криптоджакинг кампания.

След това по-рано този април Akamai разкри това, което описа като „възобновяване“ на дейността от 2021 г., за която се смята, че е започнала около октомври 2022 г., като е донесла на престъпниците около 10 000 долара незаконни печалби.

„Атакуващите използват дълга верига от полезни товари, преди в крайна сметка да пуснат криптомайнера Monero“, каза тогава изследователят на Akamai Стив Купчик. „Новите възможности включват използване на модул за червей по протокола Secure Shell (SSH), увеличено отчитане, по-добро замаскиране на полезния товар и нов модул за разпространение в локалната мрежа.“

Последният анализ на Cado Security показва, че групата разгръща и готов ботнет, наречен Cayosin – семейство зловреден софтуер, което споделя характеристики с Qbot и Mirai.

Разработката е знак, че  заплахата вече притежава способността да организира DDoS атаки. Други дейности, осъществявани от групата, включват доксване на конкурентни хакерски групи и разчитане на Discord за командване и контрол и ексфилтрация на данни.

„Внедряването на този агент беше насочено към рутери, работещи с операционната система за вградени устройства OpenWrt, базирана на Linux“, заявиха от компанията за киберсигурност. „Използването на Cayosin демонстрира готовността на Diicot да извършва разнообразни атаки (не само криптоджакинг) в зависимост от вида на целите, с които се сблъсква.“

Веригите за компрометиране на Diicot са останали до голяма степен последователни, използвайки персонализираната SSH програма за грубо насилване, за да се закрепят и да пуснат допълнителен зловреден софтуер, като например варианта Mirai и криптомайнера.

Някои от другите инструменти са следните.

• Chrome – интернет скенер, базиран на Zmap, който може да записва резултатите от операцията в текстов файл („bios.txt“).
• Update – Изпълним файл, който извлича и изпълнява SSH brute-forcer и Chrome, ако те не съществуват в системата.
• History – Скрипт на шел, който е предназначен за изпълнение на Update

Инструментът SSH brute-forcer (известен още като псевдоними), от своя страна, анализира изхода на текстовия файл на Chrome, за да проникне във всеки от идентифицираните IP адреси, и ако успее, установява отдалечена връзка с IP адреса.

След това се изпълняват поредица от команди за профилиране на заразения хост и използването му за разгръщане на криптомайнера или за накарването му да действа като разпространител, ако процесорът на машината има по-малко от четири ядра.

За да се намалят подобни атаки, на организациите се препоръчва да внедрят SSH hardening (укрепване на SSH) и правила на защитната стена, за да ограничат SSH достъпа до определени IP адреси.

„Тази кампания е насочена конкретно към SSH сървъри, изложени в интернет, с включена автентификация с парола“, казват от Cado Security. „Списъкът с потребителски имена/пароли, който те използват, е сравнително ограничен и включва двойки удостоверения по подразбиране и такива, които лесно могат да бъдат загатнати.“