Cybersecurity-onderzoekers hebben licht geworpen op een “automatisch propagerende” cryptocurrency-mijnbouwbotnet genaamd Balling (aka dota) die bekend staat om het richten van SSH -servers met zwakke referenties.
“Outlaw is een Linux-malware die afhankelijk is van SSH brute-force-aanvallen, cryptocurrency-mijnbouw en wormachtige voortplanting om de controle over systemen te infecteren en te behouden,” zei Elastic Security Labs in een nieuwe analyse die dinsdag werd gepubliceerd.
Outlaw is ook de naam gegeven aan de dreigingsacteurs achter de malware. Er wordt aangenomen dat het van de Roemeense oorsprong is. Andere hackgroepen die het cryptojacking -landschap domineren, zijn 8220, KEKSEC (aka Kek Security), kining en teamtnt.
Actief sinds ten minste eind 2018, heeft de hacking crew brute-forced SSH-servers, misbruik van de positie om verkenning uit te voeren en doorzettingsvermogen te behouden op de gecompromitteerde hosts door hun eigen SSH-toetsen toe te voegen aan het “geautoriseerde_keys” -bestand.
Van de aanvallers is ook bekend dat ze een infectieproces met meerdere fasen opnemen waarbij een dropper-shell-script (“TDDWRT7S.SH”) omvat om een archiefbestand te downloaden (“Dota3.tar.gz”), dat vervolgens wordt uitgepakt om de mijnwerker te lanceren, terwijl ook stappen worden gezet om stappen te verwijderen van eerdere compromissen en doden zowel de competitie als hun eigen MINERS.
Een opmerkelijk kenmerk van de malware is een initiële toegangscomponent (ook AKA Blitz) die zelfpropagatie van de malware op een botnet-achtige manier mogelijk maakt door te scannen op kwetsbare systemen met een SSH-service. De Brute-Force-module is geconfigureerd om een doellijst van een SSH-opdracht-en-control (C2) -server op te halen om de cyclus verder te bestendigen.
Sommige herhalingen van de aanvallen hebben ook hun toevlucht genomen tot het exploiteren van Linux- en Unix-gebaseerde besturingssystemen die vatbaar zijn voor CVE-2016-8655 en CVE-2016-5195 (AKA Dirty Cow), evenals aanvalsystemen met zwakke telnet-referenties. Bij het verkrijgen van initiële toegang, implementeert de malware shellbot voor afstandsbediening via een C2 -server met behulp van een IRC -kanaal.
ShellBot, van zijn kant, maakt de uitvoering van willekeurige shell -opdrachten, downloads en voert extra payloads uit, lanceert DDOS -aanvallen, steelt inloggegevens en exfiltreert gevoelige informatie.
Als onderdeel van het mijnbouwproces bepaalt het de CPU van het geïnfecteerde systeem en maakt het enorme pagina’s mogelijk voor alle CPU -kernen om de efficiëntie van de geheugentoegang te verhogen. De malware maakt ook gebruik van een binair genaamd KSWAP01 om aanhoudende communicatie met de infrastructuur van de dreigingsacteur te garanderen.
“Outlaw blijft actief ondanks het gebruik van basistechnieken zoals SSH Brute-forcing, SSH Key Manipulation en Cron-gebaseerde persistentie,” zei Elastic. “De malware implementeert gemodificeerde XMRIG -mijnwerkers, maakt gebruik van IRC voor C2 en omvat openbaar beschikbare scripts voor persistentie en defensie -ontduiking.”
