Търсене
Close this search box.

Diicot разширява тактиката си с ботнета Cayosin

Изследователи в областта на киберсигурността са открили недокументирани досега полезни товари, свързани с румънскa заплаха на име Diicot, разкривайки потенциала  за извършване на разпределени атаки за отказ на услуга (DDoS).

„Името Diicot е значимо, тъй като това е и името на румънското полицейско звено за борба с организираната престъпност и тероризма“, се казва в техническия доклад на Cado Security. „Освен това артефактите от кампаниите на групата съдържат съобщения и изображения, свързани с тази организация.“

Diicot (с рождено име Mexals) е документирана за първи път от Bitdefender през юли 2021 г., разкривайки използването от страна на извършителя на Go-базиран SSH brute-forcer инструмент, наречен Diicot Brute, за пробив на Linux хостове като част от криптоджакинг кампания.

След това по-рано този април Akamai разкри това, което описа като „възобновяване“ на дейността от 2021 г., за която се смята, че е започнала около октомври 2022 г., като е донесла на престъпниците около 10 000 долара незаконни печалби.

„Атакуващите използват дълга верига от полезни товари, преди в крайна сметка да пуснат криптомайнера Monero“, каза тогава изследователят на Akamai Стив Купчик. „Новите възможности включват използване на модул за червей по протокола Secure Shell (SSH), увеличено отчитане, по-добро замаскиране на полезния товар и нов модул за разпространение в локалната мрежа.“

Последният анализ на Cado Security показва, че групата разгръща и готов ботнет, наречен Cayosin – семейство зловреден софтуер, което споделя характеристики с Qbot и Mirai.

Разработката е знак, че  заплахата вече притежава способността да организира DDoS атаки. Други дейности, осъществявани от групата, включват доксване на конкурентни хакерски групи и разчитане на Discord за командване и контрол и ексфилтрация на данни.

„Внедряването на този агент беше насочено към рутери, работещи с операционната система за вградени устройства OpenWrt, базирана на Linux“, заявиха от компанията за киберсигурност. „Използването на Cayosin демонстрира готовността на Diicot да извършва разнообразни атаки (не само криптоджакинг) в зависимост от вида на целите, с които се сблъсква.“

Веригите за компрометиране на Diicot са останали до голяма степен последователни, използвайки персонализираната SSH програма за грубо насилване, за да се закрепят и да пуснат допълнителен зловреден софтуер, като например варианта Mirai и криптомайнера.

Някои от другите инструменти са следните.

  • Chrome – интернет скенер, базиран на Zmap, който може да записва резултатите от операцията в текстов файл („bios.txt“).
  • Update – Изпълним файл, който извлича и изпълнява SSH brute-forcer и Chrome, ако те не съществуват в системата.
  • History – Скрипт на шел, който е предназначен за изпълнение на Update

Инструментът SSH brute-forcer (известен още като псевдоними), от своя страна, анализира изхода на текстовия файл на Chrome, за да проникне във всеки от идентифицираните IP адреси, и ако успее, установява отдалечена връзка с IP адреса.

След това се изпълняват поредица от команди за профилиране на заразения хост и използването му за разгръщане на криптомайнера или за накарването му да действа като разпространител, ако процесорът на машината има по-малко от четири ядра.

За да се намалят подобни атаки, на организациите се препоръчва да внедрят SSH hardening (укрепване на SSH) и правила на защитната стена, за да ограничат SSH достъпа до определени IP адреси.

„Тази кампания е насочена конкретно към SSH сървъри, изложени в интернет, с включена автентификация с парола“, казват от Cado Security. „Списъкът с потребителски имена/пароли, който те използват, е сравнително ограничен и включва двойки удостоверения по подразбиране и такива, които лесно могат да бъдат загатнати.“

Източник: The Hacker News

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
20/05/2024

Китайци са арестувани за пр...

Министерството на правосъдието на САЩ повдигна...
08/05/2024

Руският оператор на криптоо...

Руски оператор на вече ликвидираната борса...
25/04/2024

САЩ обвиняват основателите ...

Министерството на правосъдието на САЩ повдигна...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!