Pesquisadores de cibersegurança lançaram luz sobre uma botnet de mineração de criptomoeda "auto-propagante" chamada Outlaw (também conhecida como Dota) que é conhecida por ter como alvo servidores SSH com credenciais fracas.
"Outlaw é um malware para Linux que depende de ataques de força bruta SSH, mineração de criptomoeda e propagação semelhante a vermes para infectar e manter controle sobre os sistemas", disse o Elastic Security Labs em uma nova análise publicada na terça-feira(01).
Outlaw também é o nome dado aos atores de ameaças por trás do malware.
Acredita-se que seja de origem romena.
Outros grupos de hackers dominando a paisagem do cryptojacking incluem 8220, Keksec (também conhecido como Kek Security), Kinsing e TeamTNT.
Ativos desde pelo menos o final de 2018, a equipe de hackers tem forçado bruta em servidores SSH, abusando do ponto de apoio para conduzir reconhecimento e manter persistência nos hosts comprometidos adicionando suas próprias chaves SSH ao arquivo "authorized_keys".
Os atacantes também são conhecidos por incorporar um processo de infecção multi-estágio que envolve o uso de um script shell distribuidor ("tddwrt7s.sh") para baixar um arquivo de arquivo ("dota3.tar.gz"), que é então descompactado para lançar o minerador enquanto também toma medidas para remover traços de compromissos passados e matar tanto a concorrência quanto seus próprios mineradores anteriores.
Uma característica notável do malware é um componente de acesso inicial (também conhecido como BLITZ) que permite a auto-propagação do malware de forma semelhante a uma botnet, escaneando sistemas vulneráveis executando um serviço SSH.
O módulo de força bruta é configurado para buscar uma lista de alvos de um servidor SSH de comando e controle (C2) para perpetuar ainda mais o ciclo.
Algumas iterações dos ataques também recorreram a explorar sistemas operacionais baseados em Linux e Unix suscetíveis a
CVE-2016-8655
e
CVE-2016-5195
(também conhecido como Dirty COW), bem como sistemas de ataque com credenciais Telnet fracas.
Ao ganhar acesso inicial, o malware implanta SHELLBOT para controle remoto via um servidor C2 usando um canal IRC.
SHELLBOT, por sua vez, permite a execução de comandos shell arbitrários, baixa e executa cargas úteis adicionais, lança ataques DDoS, rouba credenciais e exfiltra informações sensíveis.
Como parte de seu processo de mineração, determina a CPU do sistema infectado e habilita hugepages para todos os núcleos de CPU para aumentar a eficiência do acesso à memória.
O malware também faz uso de um binário chamado kswap01 para garantir comunicações persistentes com a infraestrutura do ator de ameaças.
"Outlaw permanece ativo apesar de usar técnicas básicas como força bruta SSH, manipulação de chaves SSH e persistência baseada em cron", disse o Elastic.
O malware implanta mineradores XMRig modificados, aproveita o IRC para C2 e inclui scripts disponíveis publicamente para persistência e evasão de defesa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...