Вредоносное ПО Outlaw, также известное как «Dota», заражает Linux-серверы, используя атаки методом перебора SSH с целью взлома систем с ненадёжными паролями. Автоматическое распространение вируса позволяет ему действовать подобно червю, внедряя криптовалютный майнер на новые цели.

Первичный компонент BLITZ отвечает за поиск уязвимых SSH-серверов, получая список целей с сервера командования и управления через SSH. Этот метод позволяет быстро обнаруживать и захватывать новые устройства для дальнейшего заражения.
Dropper-скрипт «tddwrt7s.sh» загружает архив «dota3.tar.gz», который после распаковки активирует процесс майнинга. При этом удаляются следы предыдущих компрометаций и завершается работа конкурирующих вредоносных программ, что минимизирует риск обнаружения.
Для обеспечения постоянного доступа злоумышленники добавляют собственные SSH-ключи в файл authorized_keys и используют задачи cron. Такой механизм персистентности гарантирует сохранение контроля над заражёнными системами в долгосрочной перспективе.
Дополнительные методы эксплуатации включают использование уязвимостей операционных систем Linux и Unix, таких как CVE-2016-8655 и CVE-2016-5195 (Dirty COW). Атаки на устройства с ненадёжными Telnet-учётными данными также способствуют быстрому распространению, а внедрённый SHELLBOT обеспечивает удалённое управление через IRC-канал, выполнение произвольных shell-команд, загрузку других полезных нагрузок, запуск DDoS-атак и кражу конфиденциальной информации.
При подтверждении заражения вредоносное ПО определяет тип процессора системы и активирует поддержку hugepages для повышения эффективности работы с памятью. Бинарный файл «kswap01» поддерживает постоянное соединение с инфраструктурой злоумышленников, а операции майнинга осуществляются с помощью модифицированных версий XMRig.
Группа Outlaw, связанная с данным вредоносным ПО, считается румынской и действует с конца 2018 года. Она работает в одном ряду с другими известными участниками криптоджэкинговой сферы, такими как 8220, Keksec (также известная как Kek Security), Kinsing и TeamTNT.
Анализ, проведённый Elastic Security Labs и опубликованный во вторник, показывает, что даже при использовании базовых техник, таких как SSH brute-force, манипуляция с SSH-ключами и cron-персистентность, вредоносное ПО Outlaw остаётся эффективным. Применение IRC для связи с C2-сервером и использование общедоступных скриптов способствуют устойчивости и обходу современных механизмов защиты.

Изображение носит иллюстративный характер
Первичный компонент BLITZ отвечает за поиск уязвимых SSH-серверов, получая список целей с сервера командования и управления через SSH. Этот метод позволяет быстро обнаруживать и захватывать новые устройства для дальнейшего заражения.
Dropper-скрипт «tddwrt7s.sh» загружает архив «dota3.tar.gz», который после распаковки активирует процесс майнинга. При этом удаляются следы предыдущих компрометаций и завершается работа конкурирующих вредоносных программ, что минимизирует риск обнаружения.
Для обеспечения постоянного доступа злоумышленники добавляют собственные SSH-ключи в файл authorized_keys и используют задачи cron. Такой механизм персистентности гарантирует сохранение контроля над заражёнными системами в долгосрочной перспективе.
Дополнительные методы эксплуатации включают использование уязвимостей операционных систем Linux и Unix, таких как CVE-2016-8655 и CVE-2016-5195 (Dirty COW). Атаки на устройства с ненадёжными Telnet-учётными данными также способствуют быстрому распространению, а внедрённый SHELLBOT обеспечивает удалённое управление через IRC-канал, выполнение произвольных shell-команд, загрузку других полезных нагрузок, запуск DDoS-атак и кражу конфиденциальной информации.
При подтверждении заражения вредоносное ПО определяет тип процессора системы и активирует поддержку hugepages для повышения эффективности работы с памятью. Бинарный файл «kswap01» поддерживает постоянное соединение с инфраструктурой злоумышленников, а операции майнинга осуществляются с помощью модифицированных версий XMRig.
Группа Outlaw, связанная с данным вредоносным ПО, считается румынской и действует с конца 2018 года. Она работает в одном ряду с другими известными участниками криптоджэкинговой сферы, такими как 8220, Keksec (также известная как Kek Security), Kinsing и TeamTNT.
Анализ, проведённый Elastic Security Labs и опубликованный во вторник, показывает, что даже при использовании базовых техник, таких как SSH brute-force, манипуляция с SSH-ключами и cron-персистентность, вредоносное ПО Outlaw остаётся эффективным. Применение IRC для связи с C2-сервером и использование общедоступных скриптов способствуют устойчивости и обходу современных механизмов защиты.