Siber güvenlik araştırmacileri Yasadışı ilan etmek (aka Dota) SSH sunucularını zayıf kimlik bilgilerine sahip olarak hedeflemek için bilinen.
“Outlaw, SSH kaba kuvvet saldırılarına, kripto para madenciliğine ve sistemler üzerinde kontrolü enfekte etmek ve korumak için solucan benzeri yayılmaya dayanan bir Linux kötü amaçlı yazılımdır.” söz konusu Salı günü yayınlanan yeni bir analizde.
Outlaw ayrıca kötü amaçlı yazılımların arkasındaki tehdit aktörlerine verilen isimdir. Romanya kökenli olduğuna inanılıyor. Kriptajlama manzarasına hakim olan diğer hack grupları arasında 8220, Keksec (aka Kek Security), Kinsing ve TeamTnt bulunmaktadır.
Aktif En azından 2018’in sonundan beri, Hacking Crew sahip olmak kaba kuvvetli SSH sunucuları“yetkili_keyler” dosyasına kendi SSH anahtarlarını ekleyerek keşif yapmak ve tehlikeye atılan ana bilgisayarlarda kalıcılığı korumak için dayanıklılığın kötüye kullanılması.
. saldırganlar ayrıca, bir arşiv dosyasını (“dota3.tar.gz”) indirmek için bir damlalık kabuk komut dosyası (“tddwrt7s.sh”) kullanmayı içeren çok aşamalı bir enfeksiyon işlemi de içerdiği bilinmektedir, bu da daha sonra Madenciyi başlatmak için açılan ve geçmiş müdahalelerin izlerini kaldırmak için adımlar atarak açılır. Hem rekabeti hem de önceki madencilerini öldür.
A dikkate değer özellik Kötü amaçlı yazılımlar, bir SSH hizmeti çalıştıran savunmasız sistemleri tarayarak kötü amaçlı yazılımların botnet benzeri bir şekilde kendi kendine yayılmasını sağlayan bir başlangıç erişim bileşenidir (diğer adıyla Blitz). Brute-Force modülü, döngüyü daha da sürdürmek için bir SSH komut ve kontrol (C2) sunucusundan bir hedef liste getirecek şekilde yapılandırılmıştır.
Saldırıların bazı yinelemeleri de tespit edilen Linux ve UNIX tabanlı işletim sistemlerinden yararlanmak için CVE-2016-8655 Ve CVE-2016-5195 (aka Dirty Cow) ve ayrıca zayıf telnet kimlik bilgileri olan saldırı sistemleri. Başlangıç erişimini kazandıktan sonra, kötü amaçlı yazılım, bir IRC kanalı kullanarak bir C2 sunucusu aracılığıyla uzaktan kumanda için ShellBot’u dağıtır.
Shellbot, kendi adına, keyfi kabuk komutlarının yürütülmesini sağlar, ek yükleri indirir ve çalıştırır, DDOS saldırılarını başlatır, kimlik bilgilerini çalır ve hassas bilgileri ortaya çıkarır.
Madencilik sürecinin bir parçası olarak, enfekte olmuş sistemin CPU’sunu belirler ve tüm CPU çekirdeklerinin bellek erişim verimliliğini artırması için büyük sayfalar sağlar. Kötü amaçlı yazılım ayrıca, tehdit oyuncusu altyapısı ile kalıcı iletişim sağlamak için KSWAP01 adlı bir ikili kullanır.
Elastik, “SSH kaba zorlama, SSH anahtar manipülasyonu ve cron bazlı kalıcılık gibi temel teknikleri kullanmasına rağmen kanun kaçağı aktif olmaya devam ediyor.” Dedi. “Kötü amaçlı yazılım, değiştirilmiş XMRIG madencilerini dağıtıyor, IRC’yi C2 için kullanıyor ve kalıcılık ve savunma kaçakçılığı için halka açık komut dosyalarını içeriyor.”
