02 avril 2025Ravie LakshmananCryptojacking / malware

Les chercheurs en cybersécurité ont fait la lumière sur un botnet minier de crypto-monnaie “auto-propagant” appelé Interdire (AKA DOTA) qui est connu pour cibler les serveurs SSH avec des informations d’identification faibles.

“Outlaw est un logiciel malveillant Linux qui s’appuie sur les attaques à force brute SSH, l’exploitation de crypto-monnaie et la propagation de type vers pour infecter et maintenir le contrôle des systèmes”, élastiques Labs de sécurité élastique dit Dans une nouvelle analyse publiée mardi.

Outlaw est également le nom donné aux acteurs de la menace derrière le malware. On pense que c’est d’origine roumaine. D’autres groupes de piratage dominant le paysage du cryptojacking comprennent 8220, Keksec (AKA Kek Security), Kinsing et Teamtnt.

Actif Depuis au moins fin 2018le équipage de piratage a Serveurs SSH forcé par brutalitéabusant de l’ampleur pour effectuer une reconnaissance et maintenir la persistance sur les hôtes compromis en ajoutant leurs propres clés SSH au fichier “Authorized_keys”.

Cybersécurité

Le agresseur sont également connus pour incorporer un processus d’infection en plusieurs étapes qui implique d’utiliser un script de shell dropper (“tddwrt7s.sh”) pour télécharger un fichier d’archive (“dota3.tar.gz”), qui est ensuite déballé pour lancer le mineur tout en prenant des mesures pour supprimer des traces de compromis passés et Tuez à la fois la concurrence et leurs propres mineurs précédents.

UN caractéristique notable du malware est un composant d’accès initial (AKA Blitz) qui permet l’auto-copain des logiciels malveillants de manière semblable à un botnet en scannant des systèmes vulnérables exécutant un service SSH. Le module de force brute est configuré pour récupérer une liste cible à partir d’un serveur de commande et de contrôle (C2) SSH pour perpétuer davantage le cycle.

Cryptojacking malware sur les serveurs Linux

Certaines itérations des attaques ont également recouru pour exploiter les systèmes d’exploitation basés sur Linux et Unix CVE-2016-8655 et CVE-2016-5195 (AKA Dirty Cow), ainsi que des systèmes d’attaque avec des références Telnet faibles. Lors de l’obtention d’un accès initial, le malware déploie du shellbot pour la télécommande via un serveur C2 à l’aide d’un canal IRC.

Cybersécurité

Shellbot, pour sa part, permet l’exécution de commandes de shell arbitraires, de télécharger et d’exécuter des charges utiles supplémentaires, lance des attaques DDOS, vole des informations d’identification et exfiltre des informations sensibles.

Dans le cadre de son processus d’exploitation minière, il détermine le CPU du système infecté et permet aux énormes pages pour que tous les cœurs de CPU augmentent l’efficacité de l’accès à la mémoire. Le malware utilise également un binaire appelé KSWAP01 pour assurer des communications persistantes avec l’infrastructure de l’acteur de menace.

“Outlaw reste actif malgré l’utilisation de techniques de base comme la forçage brute SSH, la manipulation des clés SSH et la persistance basée sur Cron”, a déclaré Elastic. “Le malware déploie des mineurs XMRIG modifiés, exploite l’IRC pour C2 et comprend des scripts accessibles au public pour la persistance et l’évasion de la défense.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57