Linux / Линукс

Outlaw Group: SSH Брутфорс и криптомайнинг на Linux-серверах

Группировка Outlaw (aka Dota), предположительно из Румынии, активно использует самораспространяющийся ботнет для криптоджекинга, атакуя Linux-серверы со слабыми SSH-кредами.

Основным вектором атаки служит SSH брутфорс. Получив первоначальный доступ, злоумышленники закрепляются в системе, добавляя свой публичный ключ в файл authorized_keys для постоянного доступа. Эта активность наблюдается как минимум с конца 2018 года.

Процесс заражения многоэтапный. Сначала используется дроппер в виде шелл-скрипта (например, tddwrt7s.sh​), который скачивает архив (часто dota3.tar.gz). После распаковки архива запускается модифицированный майнер XMRig. Важно отметить, что скрипты также выполняют задачи по зачистке: удаляют следы предыдущих компрометаций и активно убивают процессы как конкурирующих майнеров, так и своих же устаревших версий, обеспечивая монополию на ресурсы хоста.

Для самораспространения используется компонент под названием BLITZ. Он действует подобно червю, сканируя сеть в поисках систем с открытым SSH-портом и пытаясь подобрать к ним пароли методом брутфорса. Списки потенциальных целей для атаки BLITZ получает со своего командного SSH C2 сервера, замыкая цикл распространения ботнета. Персистентность также поддерживается через планировщик cron.

В некоторых случаях для первоначального проникновения эксплуатировались старые, но все еще встречающиеся уязвимости, такие как CVE-2016-5195 (Dirty COW), или использовался подбор слабых паролей к Telnet. После успешного входа на хост разворачивается SHELLBOT для удаленного управления через IRC-канал, используемый в качестве C2. Этот бот предоставляет широкий набор возможностей: выполнение произвольных шелл-команд, загрузку и запуск дополнительных вредоносных модулей, организацию DDoS-атак, кражу учетных данных и эксфильтрацию чувствительной информации с зараженной машины.

Для оптимизации процесса майнинга вредонос определяет тип CPU и активирует hugepages для всех ядер, чтобы повысить эффективность доступа к памяти. Постоянную связь с инфраструктурой злоумышленников обеспечивает бинарный файл, часто маскирующийся под системный процесс, например, kswap01.

Несмотря на применение довольно базовых и известных техник, таких как SSH брутфорс, манипуляции с ключами авторизации и использование cron для персистентности, группировка Outlaw продолжает оставаться активной и представлять реальную угрозу для Linux-инфраструктур. Регулярная проверка стойкости паролей и аудит содержимого файла authorized_keys остаются критически важными мерами защиты. 🧐

Базовые техники, старые уязвимости... А результат есть. Доказывает, что для успеха не всегда нужен zero-day, иногда достаточно ленивого админа. 😁

Linux / Линукс 🥸

Please open Telegram to view this post

VIEW IN TELEGRAM

👍9🤔4

www.tgoop.com/linux_gram/8412

3.1K viewsApr 4 at 01:34

Outlaw Group: SSH Брутфорс и криптомайнинг на Linux-серверах

Группировка Outlaw (aka Dota), предположительно из Румынии, активно использует самораспространяющийся ботнет для криптоджекинга, атакуя Linux-серверы со слабыми SSH-кредами.

Основным вектором атаки служит SSH брутфорс. Получив первоначальный доступ, злоумышленники закрепляются в системе, добавляя свой публичный ключ в файл authorized_keys для постоянного доступа. Эта активность наблюдается как минимум с конца 2018 года.

Процесс заражения многоэтапный. Сначала используется дроппер в виде шелл-скрипта (например, tddwrt7s.sh​), который скачивает архив (часто dota3.tar.gz). После распаковки архива запускается модифицированный майнер XMRig. Важно отметить, что скрипты также выполняют задачи по зачистке: удаляют следы предыдущих компрометаций и активно убивают процессы как конкурирующих майнеров, так и своих же устаревших версий, обеспечивая монополию на ресурсы хоста.

Для самораспространения используется компонент под названием BLITZ. Он действует подобно червю, сканируя сеть в поисках систем с открытым SSH-портом и пытаясь подобрать к ним пароли методом брутфорса. Списки потенциальных целей для атаки BLITZ получает со своего командного SSH C2 сервера, замыкая цикл распространения ботнета. Персистентность также поддерживается через планировщик cron.

В некоторых случаях для первоначального проникновения эксплуатировались старые, но все еще встречающиеся уязвимости, такие как CVE-2016-5195 (Dirty COW), или использовался подбор слабых паролей к Telnet. После успешного входа на хост разворачивается SHELLBOT для удаленного управления через IRC-канал, используемый в качестве C2. Этот бот предоставляет широкий набор возможностей: выполнение произвольных шелл-команд, загрузку и запуск дополнительных вредоносных модулей, организацию DDoS-атак, кражу учетных данных и эксфильтрацию чувствительной информации с зараженной машины.

Для оптимизации процесса майнинга вредонос определяет тип CPU и активирует hugepages для всех ядер, чтобы повысить эффективность доступа к памяти. Постоянную связь с инфраструктурой злоумышленников обеспечивает бинарный файл, часто маскирующийся под системный процесс, например, kswap01.

Несмотря на применение довольно базовых и известных техник, таких как SSH брутфорс, манипуляции с ключами авторизации и использование cron для персистентности, группировка Outlaw продолжает оставаться активной и представлять реальную угрозу для Linux-инфраструктур. Регулярная проверка стойкости паролей и аудит содержимого файла authorized_keys остаются критически важными мерами защиты. 🧐

Базовые техники, старые уязвимости... А результат есть. Доказывает, что для успеха не всегда нужен zero-day, иногда достаточно ленивого админа. 😁

Linux / Линукс 🥸