Investigadores de ciberseguridad han descubierto cargas útiles previamente no documentadas asociadas con un actor de amenazas rumano llamado Diicot , lo que revela su potencial para lanzar ataques distribuidos de denegación de servicio (DDoS).
«El nombre Diicot es significativo, ya que también es el nombre de la unidad policial rumana contra el crimen organizado y el terrorismo «, dijo Cado Security en un informe técnico. «Además, los artefactos de las campañas del grupo contienen mensajes e imágenes relacionadas con esta organización».
Diicot (de soltera Mexals) fue documentado por primera vez por Bitdefender en julio de 2021, descubriendo el uso por parte del actor de una herramienta de fuerza bruta SSH basada en Go llamada Diicot Brute para violar los hosts de Linux como parte de una campaña de cryptojacking.
Luego, a principios de abril, Akamai reveló lo que describió como un «resurgimiento» de la actividad de 2021 que se cree que comenzó alrededor de octubre de 2022, lo que le generó al actor alrededor de $ 10,000 en ganancias ilícitas.
«Los atacantes usan una larga cadena de cargas útiles antes de finalmente dejar caer un criptominero Monero», dijo en ese momento el investigador de Akamai Stiv Kupchik . «Las nuevas capacidades incluyen el uso de un módulo de gusano Secure Shell Protocol (SSH), más informes, una mejor ofuscación de la carga útil y un nuevo módulo de dispersión de LAN».
El análisis más reciente de Cado Security muestra que el grupo también está desplegando un agente de botnet listo para usar denominado Cayosin , una familia de malware que comparte características con Qbot y Mirai .
El desarrollo es una señal de que el actor de amenazas ahora posee la capacidad de montar ataques DDoS. Otras actividades llevadas a cabo por el grupo incluyen el doxxing de grupos de piratería rivales y su dependencia de Discord para el comando y control y la exfiltración de datos.
«La implementación de este agente estaba dirigida a los enrutadores que ejecutan el sistema operativo de dispositivos integrados basado en Linux, OpenWrt», dijo la compañía de seguridad cibernética. «El uso de Cayosin demuestra la voluntad de Diicot de realizar una variedad de ataques (no solo cryptojacking) según el tipo de objetivos que encuentren».
Las cadenas de compromiso de Diicot se han mantenido en gran medida consistentes, aprovechando la utilidad de fuerza bruta SSH personalizada para afianzarse y eliminar malware adicional, como la variante Mirai y el criptominero.
Algunas de las otras herramientas utilizadas por el actor son las siguientes:
- Chrome : un escáner de Internet basado en Zmap que puede escribir los resultados de la operación en un archivo de texto («bios.txt»).
- Actualización : un ejecutable que obtiene y ejecuta SSH brute-forcer y Chrome si no existen en el sistema.
- History : un script de shell diseñado para ejecutar Update
La herramienta de fuerza bruta SSH (también conocida como alias), por su parte, analiza la salida del archivo de texto de Chrome para acceder a cada una de las direcciones IP identificadas y, si tiene éxito, establece una conexión remota a la dirección IP.
Luego, se ejecuta una serie de comandos para perfilar el host infectado y usarlo para implementar un criptominero o hacer que actúe como un esparcidor si la CPU de la máquina tiene menos de cuatro núcleos.
Para mitigar tales ataques, se recomienda a las organizaciones que implementen reglas de firewall y refuerzo SSH para limitar el acceso SSH a direcciones IP específicas.
«Esta campaña se dirige específicamente a los servidores SSH expuestos a Internet con autenticación de contraseña habilitada», dijo Cado Security. «La lista de nombres de usuario/contraseñas que utilizan es relativamente limitada e incluye pares de credenciales predeterminados y fáciles de adivinar».
Fuente y redacción: thehackernews.com
