Un gruppo di minacce ha preso di mira macchine basate su Linux con credenziali SSH deboli per distribuire malware di mining Monero e altri tipi di attacchi.
La scoperta è stata fatta dai ricercatori di sicurezza di Bitdefender secondo i quali il gruppo ha sede probabilmente in Romania ed è attivo almeno dal 2020.
Come qualsiasi altro gruppo di minacce che cercano credenziali SSH deboli, gli strumenti e i metodi utilizzati possono identificarli. In questo caso, l’attività degli aggressori per evitare di essere rilevati implica l’offuscamento degli script Bash compilandoli con un compilatore di script di shell (shc) e utilizzando Discord per riportare le informazioni.
Oltre agli strumenti tradizionali come masscane zmap, il toolkit degli attori delle minacce include un bruteforcer SSH precedentemente non segnalato scritto in Golang. Questo strumento sembra essere distribuito su un modello as-a-service in quanto utilizza un server API centralizzato. Ogni attore delle minacce fornisce la propria chiave API nei propri script. Come la maggior parte degli altri strumenti in questo kit, lo strumento di brute force ha la sua interfaccia in un mix di rumeno e inglese, il che fa pensare che il suo autore faccia parte dello stesso gruppo rumeno.
Le macchine Linux compromettenti con credenziali SSH deboli vengono trovate attraverso la scansione. Gli aggressori ospitano diversi archivi sul server, che contengono toolchain per craccare server con credenziali SSH deboli. Il processo si articola in tre fasi:
- ricognizione: identificazione dei server SSH tramite scansione delle porte e cattura dei banner
- accesso alle credenziali: identificazione di credenziali valide tramite brute force
- accesso iniziale: connessione tramite SSH ed esecuzione del payload dell’infezione
A seconda della fase, gli aggressori utilizzano strumenti diversi. Una volta che gli aggressori trovano ed entrano in un dispositivo Linux con credenziali SSH inadeguate, distribuiscono ed eseguono il caricatore. Tutti i caricatori sono offuscati tramite shc. Il caricatore raccoglie le informazioni di sistema e le inoltra all’aggressore utilizzando un HTTP POST a un webhook Discord.
Utilizzando Discord, gli autori delle minacce eludono la necessità di ospitare il proprio server di comando e controllo, poiché i webhook sono mezzi per pubblicare dati sul canale Discord in modo programmatico. I dati raccolti possono essere comodamente visualizzati anche su un canale.
“Discord è sempre più popolare tra gli attori delle minacce a causa di questa funzionalità, in quanto fornisce involontariamente supporto per la distribuzione di malware (uso del suo CDN), comando e controllo (webhook) o creazione di comunità incentrate sull’acquisto e la vendita di codice sorgente e servizi di malware (ad es. DDoS)”.
Le informazioni raccolte in questa fase permettono all’autore della minaccia di testimoniare l’efficacia dei propri strumenti nell’infettare le macchine. L’elenco delle vittime può anche essere raccolto per effettuare eventuali passaggi successivi allo sfruttamento.
I ricercatori sottolineano che le persone sono la semplice ragione per cui le credenziali SSH brute-forcing funzionano ancora e che per questo processo il gruppo ha sviluppato uno strumento dedicato che il suo autore ha soprannominato “Diicot brute”.
Lo scopo di questa campagna è attualmente diretto verso l’estrazione di Monero, tuttavia i ricercatori hanno collegato questo gruppo a diverse botnet DDoS: una variante chiamata Demonbot chernobyle un bot IRC Perl.
“Come tutti sapete, il mining di criptovalute è lento e noioso, ma può essere più veloce quando si utilizzano più sistemi. Possedere più sistemi per il mining non è economico, quindi gli aggressori provano la prossima cosa migliore: compromettere i dispositivi da remoto e usarli invece per il mining.
In questo caso, il gruppo utilizza binari compilati personalizzati con configurazioni incorporate di un minatore legittimo denominato XMRig. In genere, il file di configurazione JSON, che include anche gli utenti e dove va la valuta, è esterno. Ma in questa versione compilata, il file di configurazione è incorporato”, si legge nel report di Bitdefender.
