Investigadores de ciberseguridad han descubierto cargas útiles previamente no documentadas asociadas con un actor de amenazas rumano llamado Diicotrevelando su potencial para lanzar ataques distribuidos de denegación de servicio (DDoS).
«El nombre Diicot es significativo, ya que también es el nombre del Unidad policial rumana contra el crimen organizado y la lucha contra el terrorismo«Seguridad Cado dicho en un informe técnico. «Además, los artefactos de las campañas del grupo contienen mensajes e imágenes relacionadas con esta organización».
Diicot (de soltera Mexals) fue documentado por primera vez por Bitdefender en julio de 2021, descubriendo el uso por parte del actor de una herramienta de fuerza bruta SSH basada en Go llamada Diicot Brute para violar los hosts de Linux como parte de una campaña de cryptojacking.
Luego, a principios de abril, Akamai reveló lo que describió como un «resurgimiento» de la actividad de 2021 que se cree que comenzó alrededor de octubre de 2022, lo que le generó al actor alrededor de $ 10,000 en ganancias ilícitas.
«Los atacantes utilizan una larga cadena de cargas útiles antes de lanzar finalmente un criptominero de Monero», dijo el investigador de Akamai Stiv Kupchik. dicho En el momento. «Las nuevas capacidades incluyen el uso de un módulo de gusano Secure Shell Protocol (SSH), más informes, una mejor ofuscación de la carga útil y un nuevo módulo de dispersión de LAN».
El último análisis de Cado Security muestra que el grupo también está desplegando una botnet lista para usar conocida como Cayosínuna familia de malware que comparte características con Qbot y Mirai.
El desarrollo es una señal de que el actor de amenazas ahora posee la capacidad de montar ataques DDoS. Otras actividades llevadas a cabo por el grupo incluyen el doxxing de grupos de piratería rivales y su dependencia de Discord para el comando y control y la exfiltración de datos.
«La implementación de este agente estaba dirigida a los enrutadores que ejecutan el sistema operativo de dispositivos integrados basado en Linux, OpenWrt», dijo la compañía de seguridad cibernética. «El uso de Cayosin demuestra la voluntad de Diicot de realizar una variedad de ataques (no solo cryptojacking) según el tipo de objetivos que encuentren».
Las cadenas de compromiso de Diicot se han mantenido en gran medida consistentes, aprovechando la utilidad de fuerza bruta SSH personalizada para afianzarse y eliminar malware adicional, como la variante Mirai y el criptominero.
Algunas de las otras herramientas utilizadas por el actor son las siguientes:
- Cromo – Un escáner de Internet basado en Zmap que puede escribir los resultados de la operación en un archivo de texto («bios.txt»).
- Actualizar – Un ejecutable que recupera y ejecuta SSH brute-forcer y Chrome si no existen en el sistema.
- Historia – Un script de shell diseñado para ejecutar Update
La herramienta de fuerza bruta SSH (también conocida como alias), por su parte, analiza la salida del archivo de texto de Chrome para acceder a cada una de las direcciones IP identificadas y, si tiene éxito, establece una conexión remota a la dirección IP.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Luego, se ejecuta una serie de comandos para perfilar el host infectado y usarlo para implementar un criptominero o hacer que actúe como un esparcidor si la CPU de la máquina tiene menos de cuatro núcleos.
Para mitigar tales ataques, se recomienda a las organizaciones que implementen reglas de firewall y refuerzo SSH para limitar el acceso SSH a direcciones IP específicas.
«Esta campaña se dirige específicamente a los servidores SSH expuestos a Internet con autenticación de contraseña habilitada», dijo Cado Security. «La lista de nombres de usuario/contraseñas que utilizan es relativamente limitada e incluye pares de credenciales predeterminados y fáciles de adivinar».