Um grupo de ameaça provavelmente baseado na Romênia e ativo desde pelo menos 2020 tem estado por trás de uma campanha ativa de cryptojacking visando máquinas baseadas em Linux com uma força bruta SSH anteriormente não documentada escrita em Golang.
Chamada de " Diicot bruta ", a ferramenta de quebra de senha é supostamente distribuída por meio de um modelo de software como serviço, com cada ator ameaçador fornecendo suas próprias chaves API exclusivas para facilitar as invasões, disseram os pesquisadores da Bitdefender em um relatório publicado na semana passada. .
Embora o objetivo da campanha seja implantar malware de mineração Monero comprometendo remotamente os dispositivos por meio de ataques de força bruta, os pesquisadores conectaram a gangue a pelo menos dois botnets DDoS , incluindo uma variante do Demonbot chamada chernobyl e um bot Perl IRC , com o XMRig carga útil de mineração hospedada em um domínio chamado mexalz [.] us desde fevereiro de 2021.
A empresa romena de tecnologia de segurança cibernética disse que começou sua investigação sobre as atividades cibernéticas do grupo em maio de 2021, levando à subsequente descoberta da infraestrutura de ataque e do kit de ferramentas do adversário.
O grupo também é conhecido por confiar em uma série de truques de ofuscação que os permitem escapar do radar. Para esse fim, os scripts Bash são compilados com um compilador de script de shell ( shc ), e descobriu-se que a cadeia de ataque usa o Discord para relatar as informações a um canal sob seu controle, uma técnica que se tornou cada vez mais comum entre agentes mal-intencionados para comunicações de comando e controle e evasão da segurança.
Usar o Discord como uma plataforma de exfiltração de dados também elimina a necessidade dos agentes de ameaças de hospedar seu próprio servidor de comando e controle, sem mencionar que permitem o suporte para a criação de comunidades centradas na compra e venda de código-fonte e serviços de malware.
"Hackers perseguindo credenciais SSH fracas não é incomum", disseram os pesquisadores. "Entre os maiores problemas de segurança estão nomes de usuário e senhas padrão, ou credenciais fracas que os hackers podem superar facilmente com força bruta. A parte complicada não é necessariamente forçar bruta essas credenciais, mas fazê-lo de uma forma que permite que os invasores não sejam detectados."
