Los investigadores de ciberseguridad han arrojado luz sobre una botnet de minería de criptomonedas “autopropagante” llamada Proscrito (también conocido como Dota) que es conocido por apuntar a servidores SSH con credenciales débiles.
“Outlaw es un malware de Linux que se basa en ataques de fuerza bruta SSH, minería de criptomonedas y propagación similar a un gusano para infectar y mantener el control sobre los sistemas”, los laboratorios de seguridad elásticos dicho En un nuevo análisis publicado el martes.
Outlaw también es el nombre dado a los actores de amenaza detrás del malware. Se cree que es de origen rumano. Otros grupos de piratería que dominan el panorama criptojacking incluyen 8220, Keksec (también conocido como Kek Security), Kinsing y TeamTnt.
Activo Desde al menos finales de 2018el tripulación de piratería tiene Servidores SSH forzados con brutoabusando del punto de apoyo para llevar a cabo el reconocimiento y mantener la persistencia en los hosts comprometidos agregando sus propias claves SSH al archivo “autorizado_keys”.
El atacantes También se sabe que incorporan un proceso de infección en varias etapas que implica usar un script de shell dropper (“tddwrt7s.sh”) para descargar un archivo de archivo (“dota3.tar.gz”), que luego se desempaqueta para lanzar el minero mientras también toma pasos para eliminar trazas de compromisos y pasados pasados y matar tanto a la competencia como a sus propios mineros anteriores.
A característica notable del malware es un componente de acceso inicial (también conocido como Blitz) que permite la autopropagación del malware de manera similar a Botnet escaneando sistemas vulnerables que ejecutan un servicio SSH. El módulo Brute-Force está configurado para obtener una lista de destino de un servidor de comando y control SSH (C2) para perpetuar aún más el ciclo.
Algunas iteraciones de los ataques también han recurrir para explotar los sistemas operativos basados en Linux y Unix susceptibles a CVE-2016-8655 y CVE-2016-5195 (también conocido como vaca sucia), así como sistemas de ataque con credenciales de telnet débiles. Al obtener acceso inicial, el malware implementa Shellbot para el control remoto a través de un servidor C2 utilizando un canal IRC.
Shellbot, por su parte, permite la ejecución de comandos de shell arbitrarios, descarga y ejecuta cargas útiles adicionales, lanza ataques DDoS, roba credenciales y exfiltrata información confidencial.
Como parte de su proceso de minería, determina la CPU del sistema infectado y permite enormes páginas para que todos los núcleos de CPU aumenten la eficiencia del acceso a la memoria. El malware también utiliza un binario llamado KSWAP01 para garantizar comunicaciones persistentes con la infraestructura del actor de amenaza.
“Outlaw permanece activo a pesar del uso de técnicas básicas como el forzamiento bruto SSH, la manipulación clave SSH y la persistencia basada en Cron”, dijo Elastic. “El malware despliega los mineros XMRIG modificados, aprovecha el IRC para C2 e incluye guiones disponibles públicamente para persistencia y evasión de defensa”.
About the Author
