Siber güvenlik araştırmacileri Yasadışı ilan etmek (aka Dota) SSH sunucularını zayıf kimlik bilgilerine sahip olarak hedeflemek için bilinen.
Elastik Güvenlik Laboratuarları Salı günü yayınlanan yeni bir analizde, “Outlaw, SSH Brute-Force saldırılarına, kripto para madenciliğine ve sistemler üzerinde kontrolü enfekte etmek ve korumak için solucan benzeri yayılmaya dayanan bir Linux kötü amaçlı yazılımdır.” Dedi.
Outlaw ayrıca kötü amaçlı yazılımların arkasındaki tehdit aktörlerine verilen isimdir. Romanya kökenli olduğuna inanılıyor. Kriptajlama manzarasına hakim olan diğer hack grupları arasında 8220, Keksec (aka Kek Security), Kinsing ve TeamTnt bulunmaktadır.
En azından 2018’in sonlarından bu yana aktif olan hack ekibi, “yetkili_keyler” dosyasına kendi SSH anahtarlarını ekleyerek, keşif yapmak ve tehlikeye atılan ev sahiplerine devam etmek için dayanağı kötüye kullanan kaba güçlendirilmiş SSH sunucularına sahiptir.
Saldırganların ayrıca, bir arşiv dosyasını (“Dota3.tar.gz”) indirmek için bir damlalık kabuk komut dosyası (“tddwrt7s.sh”) kullanmayı içeren çok aşamalı bir enfeksiyon işlemi de içerdiği bilinmektedir, bu da daha sonra madenciyi piyasaya sürülmede açılır ve aynı zamanda hem rekabetin hem de önceki madencileri öldürmek için adımlar atar.
Kötü amaçlı yazılımın dikkate değer bir özelliği, bir SSH hizmetini çalıştıran savunmasız sistemleri tarayarak kötü amaçlı yazılımların botnet benzeri bir şekilde kendi kendine yayılmasını sağlayan bir başlangıç erişim bileşenidir (diğer adıyla Blitz). Brute-Force modülü, döngüyü daha da sürdürmek için bir SSH komut ve kontrol (C2) sunucusundan bir hedef liste getirecek şekilde yapılandırılmıştır.
Saldırıların bazı yinelemeleri, CVE-2016-8655 ve CVE-2016-5195’e (aka kirli inek) duyarlı Linux- ve Unix tabanlı işletim sistemlerini ve zayıf Telnet kimlik bilgilerine sahip saldırı sistemlerini de kullanmaya başvurdu. Başlangıç erişimini kazandıktan sonra, kötü amaçlı yazılım, bir IRC kanalı kullanarak bir C2 sunucusu aracılığıyla uzaktan kumanda için ShellBot’u dağıtır.
Shellbot, kendi adına, keyfi kabuk komutlarının yürütülmesini sağlar, ek yükleri indirir ve çalıştırır, DDOS saldırılarını başlatır, kimlik bilgilerini çalır ve hassas bilgileri ortaya çıkarır.
Madencilik sürecinin bir parçası olarak, enfekte olmuş sistemin CPU’sunu belirler ve tüm CPU çekirdeklerinin bellek erişim verimliliğini artırması için büyük sayfalar sağlar. Kötü amaçlı yazılım ayrıca, tehdit oyuncusu altyapısı ile kalıcı iletişim sağlamak için KSWAP01 adlı bir ikili kullanır.
Elastik, “SSH kaba zorlama, SSH anahtar manipülasyonu ve cron bazlı kalıcılık gibi temel teknikleri kullanmasına rağmen kanun kaçağı aktif olmaya devam ediyor.” Dedi. “Kötü amaçlı yazılım, değiştirilmiş XMRIG madencilerini dağıtıyor, IRC’yi C2 için kullanıyor ve kalıcılık ve savunma kaçakçılığı için halka açık komut dosyalarını içeriyor.”