Outlaw koncernen bedriver en aktiv kampanj som riktar sig till Linux-system i cryptocurrency gruv-attacker.
På tisdag, den JASK Special Ops forskargrupp lämnas ytterligare information.PDF) av attacken våg som verkar fokusera på ta infrastruktur resurser för att stödja olaglig Monero gruvdrift.
Kampanjen använder sig av en förfinad version av Shellbot, en Trojan som skär en tunnel mellan en infekterad system och en kommando-och-kontroll (C2) server som drivs av hot aktörer.
Bakdörren är kunna samla in system-och personuppgifter, avsluta eller kör uppgifter och processer, ladda ner ytterligare nyttolast, öppna fjärrkontrollen kommandoradsskal, skicka stulna informationen till en C2, och även ta emot ytterligare skadlig kod nyttolaster från styrenheter.
Bot först uppstod i November 2018. Enligt Trend Micro, malware är ett verk av Outlaw-gruppen, en grov översättning som härstammar från “haiduc,” en rumänsk fras som har testamenterats till de viktigaste hacking verktyg använder koncernen.
Shellbot är en IRC-bot som distribueras genom gemensamma kommandot injektion sårbarheter som inte bara riktar sig till utsatta Linux-servrar, men också en rad av Internet of Things (IoT) – enheter.
It forskare observera att Shellbot har kapacitet att påverka Windows-miljöer och Android-enheter också, men sådana infektioner är ovanliga.
Se också: Facebook värsta integritet skandaler och data katastrofer
I attacker inspelad i November med Trend Micro, Outlaw kunde angripa en FTP (File Transfer Protocol) server av en Japansk konst organisationen, tillsammans med en Bangladeshiska regeringens hemsida. En annan attack som registreras av JASK, vilket är mest sannolikt från samma hot grupp, lyckats bryta sig in i flera Linux-servrar som tillhör en enda, namnlösa företag.
Vart och ett av dessa system fick nyttolaster post-infektion inklusive IRC-C2 botware, cryptomining malware, och haiduc SSH skanna och nätverk förökning toolkit. Den cryptocurrency skadlig kod i fråga var en gruv-script, XMR-Stak, utformad för att använda stulna server resurser till gruvan för Monero (XMR).
Poolen, som används för att generera cryptocurrency, men är för närvarande nere och de enda ledtrådar som finns visar att poolen var värd för en game server.
“Detta tyder på att dessa kampanjen aktörer kan ha byggt sin egen gruvdrift pool infrastruktur på denna leverantör i stället för att använda offentligt tillgänglig och kära,” forskarna säger.
TechRepublic: Hur säkra NGINX med Låt oss Kryptera
Hotet aktörer målet organisationer genom denial-of-service (DoS) och SSH brute-force-tekniker. Om servrar äventyras, deras styrka läggs till Outlaw botnet för att fortsätta kampanjen.
Enligt JASK, botnät används nu för att tjäna pengar på komprometterade datorer genom distribuerad denial-of-service (DDoS) för hyra tjänster vid sidan av olaglig cryptomining.
Den verktygslåda som hör till Outlaw är nu också att använda sig av ett Perl-baserade IRC-bot som har identifierats som en ny version av Shellbot stärkt av Perl ‘ s pack rutin för de ändamål för mörkläggning.
CNET: Huawei kontrovers: Allt du behöver veta
“C2 är fortfarande aktiv och botnät är växande,” säkerhet forskare säger. “Flerstegs nyttolaster tyder på återanvändning och återanvänd av shellbot kod som används av aktörer i olika regioner i världen, bland annat Brasilien och Rumänien. JASK har också observerats nyligen anpassad nyttolaster som hantverk särskilda utvinning av uppgifter för olika arkitekturer och efter exploatering mask-liknande beteende.”
Tidigare och relaterade täckning
Denna smarta-lampa kan läcka ditt Wi-Fi-lösenord
Hacker avslöjar Magyar Telekom sårbarheter, ansikten fängelsestraff
Black hat ” – hackare, vit krage brottslingar krypa upp för att fungera insider trading system
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter