Um grupo de ameaça provavelmente baseado na Romênia e ativo desde pelo menos 2020 tem estado por trás de uma campanha ativa de criptojacking visando máquinas baseadas em Linux com uma força bruta de SSH anteriormente não documentada escrita em Golang.
Denominada "Diicot brute", a ferramenta de quebra de senha é supostamente distribuída através de um modelo de software como serviço ( SaaS ), com cada ator ameaçador fornecendo suas próprias chaves API exclusivas para facilitar as invasões, disseram pesquisadores da Bitdefender em um relatório publicado em julho deste ano.
Enquanto o objetivo da campanha é implantar o malware de mineração Monero, comprometendo remotamente os dispositivos através de ataques de força bruta, os pesquisadores conectaram a gangue a pelo menos duas botnets DDoS, incluindo uma variante Demonbot chamada chernobyl e uma bot Perl IRC, com o XMRig carga útil de mineração hospedada em um domínio chamado mexalz[.]us desde fevereiro de 2021.
Imagem: Invasores de Criptojacking em Linux
A empresa romena de tecnologia cibernética de segurança disse ter iniciado sua investigação sobre as atividades hostis on-line do grupo em maio de 2021, levando à subsequente descoberta da infraestrutura de ataque e do kit de ferramentas do adversário.
O grupo também é conhecido por confiar em uma série de truques de ofuscação que lhes permitem passar por baixo do radar. Para isso, os scripts Bash são compilados com um compilador de scripts shell (shc), e a cadeia de ataque foi encontrada para alavancar a Discord para reportar as informações a um canal sob seu controle, uma técnica que tem se tornado cada vez mais comum entre os atores maliciosos para as comunicações de comando e controle e para escapar da segurança.
O uso da Discord como plataforma de exfiltragem de dados também elimina a necessidade dos agentes de ameaça hospedarem seu próprio servidor de comando e controle, sem mencionar o apoio à criação de comunidades centradas na compra e venda de código-fonte e serviços de malware.
"Hackers indo atrás de credenciais SSH fracas não é incomum", disseram os pesquisadores. “Entre os maiores problemas de segurança estão os nomes de usuários e senhas padrão, ou credenciais fracas que os hackers podem superar facilmente com força bruta". A parte complicada não é necessariamente forçar essas credenciais, mas fazê-lo de forma a permitir que os atacantes passem despercebidos".
Fonte: https://thehackernews.com/2021/07/researchers-warn-of-linux-cryptojacking.html
Comentarios