{"id":1651230,"date":"2025-04-02T18:18:16","date_gmt":"2025-04-02T18:18:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/outlaw-group-utiliza-ssh-brute-force-para-implementar-malware-criptojacking-en-servidores-linux\/"},"modified":"2025-04-02T18:18:21","modified_gmt":"2025-04-02T18:18:21","slug":"outlaw-group-utiliza-ssh-brute-force-para-implementar-malware-criptojacking-en-servidores-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/outlaw-group-utiliza-ssh-brute-force-para-implementar-malware-criptojacking-en-servidores-linux\/","title":{"rendered":"Outlaw Group utiliza SSH Brute-Force para implementar malware criptojacking en servidores Linux"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Criptojacking \/ malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han arrojado luz sobre una botnet de miner\u00eda de criptomonedas “autopropagante” llamada Proscrito<\/strong> (tambi\u00e9n conocido como Dota) que es conocido por apuntar a servidores SSH con credenciales d\u00e9biles.<\/p>\n

“Outlaw es un malware de Linux que se basa en ataques de fuerza bruta SSH, miner\u00eda de criptomonedas y propagaci\u00f3n similar a un gusano para infectar y mantener el control sobre los sistemas”, los laboratorios de seguridad el\u00e1sticos dicho<\/a> En un nuevo an\u00e1lisis publicado el martes.<\/p>\n

Outlaw tambi\u00e9n es el nombre dado a los actores de amenaza detr\u00e1s del malware. Se cree que es de origen rumano. Otros grupos de pirater\u00eda que dominan el panorama criptojacking incluyen 8220, Keksec (tambi\u00e9n conocido como Kek Security), Kinsing y TeamTnt.<\/p>\n

Activo Desde al menos finales de 2018<\/a>el tripulaci\u00f3n de pirater\u00eda<\/a> tiene Servidores SSH forzados con bruto<\/a>abusando del punto de apoyo para llevar a cabo el reconocimiento y mantener la persistencia en los hosts comprometidos agregando sus propias claves SSH al archivo “autorizado_keys”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El atacantes<\/a> Tambi\u00e9n se sabe que incorporan un proceso de infecci\u00f3n en varias etapas que implica usar un script de shell dropper (“tddwrt7s.sh”) para descargar un archivo de archivo (“dota3.tar.gz”), que luego se desempaqueta para lanzar el minero mientras tambi\u00e9n toma pasos para eliminar trazas de compromisos y pasados \u200b\u200bpasados \u200b\u200by matar tanto a la competencia como a sus propios mineros anteriores<\/a>.<\/p>\n

A caracter\u00edstica notable<\/a> del malware es un componente de acceso inicial (tambi\u00e9n conocido como Blitz) que permite la autopropagaci\u00f3n del malware de manera similar a Botnet escaneando sistemas vulnerables que ejecutan un servicio SSH. El m\u00f3dulo Brute-Force est\u00e1 configurado para obtener una lista de destino de un servidor de comando y control SSH (C2) para perpetuar a\u00fan m\u00e1s el ciclo.<\/p>\n

\"Malware<\/a><\/div>\n

Algunas iteraciones de los ataques tambi\u00e9n han recurrir<\/a> para explotar los sistemas operativos basados \u200b\u200ben Linux y Unix susceptibles a CVE-2016-8655<\/a> y CVE-2016-5195<\/a> (tambi\u00e9n conocido como vaca sucia), as\u00ed como sistemas de ataque con credenciales de telnet d\u00e9biles. Al obtener acceso inicial, el malware implementa Shellbot para el control remoto a trav\u00e9s de un servidor C2 utilizando un canal IRC.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Shellbot, por su parte, permite la ejecuci\u00f3n de comandos de shell arbitrarios, descarga y ejecuta cargas \u00fatiles adicionales, lanza ataques DDoS, roba credenciales y exfiltrata informaci\u00f3n confidencial.<\/p>\n

Como parte de su proceso de miner\u00eda, determina la CPU del sistema infectado y permite enormes p\u00e1ginas para que todos los n\u00facleos de CPU aumenten la eficiencia del acceso a la memoria. El malware tambi\u00e9n utiliza un binario llamado KSWAP01 para garantizar comunicaciones persistentes con la infraestructura del actor de amenaza.<\/p>\n

“Outlaw permanece activo a pesar del uso de t\u00e9cnicas b\u00e1sicas como el forzamiento bruto SSH, la manipulaci\u00f3n clave SSH y la persistencia basada en Cron”, dijo Elastic. “El malware despliega los mineros XMRIG modificados, aprovecha el IRC para C2 e incluye guiones disponibles p\u00fablicamente para persistencia y evasi\u00f3n de defensa”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n