Как группа Outlaw использует SSH brute-force для криптоджэкинга?

Вредоносное ПО Outlaw, также известное как «Dota», заражает Linux-серверы, используя атаки методом перебора SSH с целью взлома систем с ненадёжными паролями. Автоматическое распространение вируса позволяет ему действовать подобно червю, внедряя криптовалютный майнер на новые цели.
Как группа Outlaw использует SSH brute-force для криптоджэкинга?
Изображение носит иллюстративный характер

Первичный компонент BLITZ отвечает за поиск уязвимых SSH-серверов, получая список целей с сервера командования и управления через SSH. Этот метод позволяет быстро обнаруживать и захватывать новые устройства для дальнейшего заражения.

Dropper-скрипт «tddwrt7s.sh» загружает архив «dota3.tar.gz», который после распаковки активирует процесс майнинга. При этом удаляются следы предыдущих компрометаций и завершается работа конкурирующих вредоносных программ, что минимизирует риск обнаружения.

Для обеспечения постоянного доступа злоумышленники добавляют собственные SSH-ключи в файл authorized_keys и используют задачи cron. Такой механизм персистентности гарантирует сохранение контроля над заражёнными системами в долгосрочной перспективе.

Дополнительные методы эксплуатации включают использование уязвимостей операционных систем Linux и Unix, таких как CVE-2016-8655 и CVE-2016-5195 (Dirty COW). Атаки на устройства с ненадёжными Telnet-учётными данными также способствуют быстрому распространению, а внедрённый SHELLBOT обеспечивает удалённое управление через IRC-канал, выполнение произвольных shell-команд, загрузку других полезных нагрузок, запуск DDoS-атак и кражу конфиденциальной информации.

При подтверждении заражения вредоносное ПО определяет тип процессора системы и активирует поддержку hugepages для повышения эффективности работы с памятью. Бинарный файл «kswap01» поддерживает постоянное соединение с инфраструктурой злоумышленников, а операции майнинга осуществляются с помощью модифицированных версий XMRig.

Группа Outlaw, связанная с данным вредоносным ПО, считается румынской и действует с конца 2018 года. Она работает в одном ряду с другими известными участниками криптоджэкинговой сферы, такими как 8220, Keksec (также известная как Kek Security), Kinsing и TeamTNT.

Анализ, проведённый Elastic Security Labs и опубликованный во вторник, показывает, что даже при использовании базовых техник, таких как SSH brute-force, манипуляция с SSH-ключами и cron-персистентность, вредоносное ПО Outlaw остаётся эффективным. Применение IRC для связи с C2-сервером и использование общедоступных скриптов способствуют устойчивости и обходу современных механизмов защиты.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка