Penyedia Layanan Internet (ISP) di Cina dan Pantai Barat Amerika Serikat telah menjadi target kampanye eksploitasi massal yang menyebarkan pencuri informasi dan penambang cryptocurrency pada tuan rumah yang dikompromikan.
Temuan ini berasal dari tim peneliti Ancaman Splunk, yang mengatakan kegiatan tersebut juga menyebabkan pengiriman berbagai binari yang memfasilitasi exfiltrasi data serta menawarkan cara untuk membangun kegigihan pada sistem.
Aktor ancaman yang tidak dikenal melakukan “operasi mengganggu minimal untuk menghindari deteksi, dengan pengecualian artefak yang dibuat oleh akun yang sudah dikompromikan,” kata perusahaan milik Cisco dalam sebuah laporan teknis yang diterbitkan minggu lalu.
“Aktor ini juga bergerak dan pivot terutama dengan menggunakan alat yang bergantung dan berjalan pada bahasa skrip (misalnya, Python dan PowerShell), yang memungkinkan aktor untuk tampil di bawah lingkungan terbatas dan menggunakan panggilan API (misalnya, telegram) untuk C2 [command-and-control] Operasi. “
Serangan telah diamati memanfaatkan serangan brute-force yang mengeksploitasi kredensial yang lemah. Upaya intrusi ini berasal dari alamat IP yang terkait dengan Eropa Timur. Lebih dari 4.000 alamat IP dari penyedia ISP dikatakan secara khusus ditargetkan.
Setelah mendapatkan akses awal ke lingkungan target, serangan telah ditemukan untuk menjatuhkan beberapa executable melalui PowerShell untuk melakukan pemindaian jaringan, pencurian informasi, dan penambangan cryptocurrency XMRIG dengan menyalahgunakan sumber daya komputasi korban.
Sebelum Eksekusi Payload adalah fase persiapan yang melibatkan mematikan fitur produk keamanan dan mengakhiri layanan yang terkait dengan deteksi cryptominer.
Malware pencuri, selain menampilkan kemampuan untuk menangkap tangkapan layar, berfungsi mirip dengan malware clipper yang dirancang untuk mencuri konten clipboard dengan mencari alamat dompet untuk cryptocurrency seperti Bitcoin (BTC), Ethereum (ETH), rantai BEP2 (ethbep2), litecoin (LTC)), BINANCE BEP2 (ETHBEP2), LITECOIN (LTC), dan.
Informasi yang dikumpulkan kemudian dikeluarkan ke bot telegram. Juga jatuh ke mesin yang terinfeksi adalah biner yang, pada gilirannya, meluncurkan muatan tambahan –
- Auto.exe, yang dirancang untuk mengunduh daftar kata sandi (pass.txt) dan daftar alamat IP (ip.txt) dari server C2 untuk melakukan serangan brute-force
- Masscan.exe, alat multi masscan
“Aktor ini menargetkan CIDR spesifik penyedia infrastruktur ISP yang terletak di pantai barat Amerika Serikat dan di negara Cina,” kata Splunk.
“IP ini ditargetkan dengan menggunakan alat MassCan yang memungkinkan operator memindai sejumlah besar alamat IP yang selanjutnya dapat diselidiki untuk port terbuka dan serangan kredensial brute-force.”
