Peneliti cybersecurity telah menjelaskan botnet penambangan cryptocurrency “propagasi otomatis” yang disebut Penjahat (alias dota) yang dikenal karena menargetkan server SSH dengan kredensial lemah.
“Outlaw adalah malware Linux yang bergantung pada serangan brute-force SSH, penambangan cryptocurrency, dan perambatan seperti cacing untuk menginfeksi dan mempertahankan kontrol atas sistem,” kata elastis Labs Security dalam analisis baru yang diterbitkan Selasa.
Outlaw juga nama yang diberikan kepada aktor ancaman di balik malware. Itu diyakini berasal dari Rumania. Kelompok peretasan lain yang mendominasi lanskap cryptojacking termasuk 8220, Keksec (alias KEK Security), Kinsing, dan Teamtnt.
Aktif sejak setidaknya akhir 2018, kru peretasan memiliki server SSH yang dipaksa dipaksa, menyalahgunakan pijakan untuk melakukan pengintaian dan mempertahankan kegigihan pada host yang dikompromikan dengan menambahkan kunci SSH mereka sendiri ke file “otorisasi_keys”.
Para penyerang juga dikenal untuk menggabungkan proses infeksi multi-tahap yang melibatkan penggunaan skrip shell dropper (“tddwrt7s.sh”) untuk mengunduh file arsip (“dota3.tar.gz”), yang kemudian dibongkar untuk meluncurkan miner sambil mengambil langkah-langkah untuk menghapus jejak kompromi di masa lalu dan membunuh kedua kompetisi dan para penambang sebelumnya.
Fitur penting dari malware adalah komponen akses awal (alias blitz) yang memungkinkan propagasi diri malware dengan cara seperti botnet dengan memindai sistem rentan yang menjalankan layanan SSH. Modul brute-force dikonfigurasi untuk mengambil daftar target dari server perintah dan kontrol ssh (C2) untuk lebih melanggengkan siklus.
Beberapa iterasi serangan juga telah menggunakan sistem operasi berbasis Linux dan Unix yang rentan terhadap CVE-2016-8655 dan CVE-2016-5195 (alias sapi kotor), serta sistem serangan dengan kredensial telnet yang lemah. Setelah mendapatkan akses awal, malware menggunakan shellbot untuk remote control melalui server C2 menggunakan saluran IRC.
Shellbot, untuk bagiannya, memungkinkan eksekusi perintah shell shell, unduhan dan menjalankan muatan tambahan, meluncurkan serangan DDOS, mencuri kredensial, dan mengekspiltrat informasi sensitif.
Sebagai bagian dari proses penambangannya, ia menentukan CPU dari sistem yang terinfeksi dan memungkinkan pelukan untuk semua inti CPU untuk meningkatkan efisiensi akses memori. Malware juga memanfaatkan biner yang disebut KSWAP01 untuk memastikan komunikasi yang persisten dengan infrastruktur aktor ancaman.
“Outlaw tetap aktif meskipun menggunakan teknik dasar seperti SSH memuat brute, manipulasi kunci SSH, dan kegigihan berbasis cron,” kata Elastic. “Malware menggunakan XMRIG Miners yang dimodifikasi, memanfaatkan IRC untuk C2, dan termasuk skrip yang tersedia untuk umum untuk kegigihan dan penghindaran pertahanan.”
