Diicot, yeni adını Romanya terörle mücadele polis birimiyle paylaşıyor ve aynı mesaj ve görsel stilini kullanıyor.
Cado Labs’tan araştırmacılar, Diicot adlı yeni ortaya çıkan bir Rumen tehdit aktörünün kurbanları hedef almak için benzersiz TTP’ler (Taktikler, Teknikler ve Prosedürler) ve ilginç bir saldırı modeli kullandığını bildirdi.
Araştırmacılar, grubun, yükleri kamuya açıklanmayan veya ortak depolarda görünmeyen kaba kuvvet kötü amaçlı yazılım kullandığını belirtti.
Diicot Tehdit Grubu Hakkında
Daha önce Mexals olarak bilinen Diicot, kapsamlı teknik bilgiye ve geniş bir hedef yelpazesine sahip nispeten yeni bir tehdit grubudur. Diicot, yeni adını Romanya terörle mücadele polis birimiyle paylaşıyor ve aynı mesaj ve görsel stilini kullanıyor.
Akamai ve Bitdefender tarafından yapılan önceki araştırma, Diicot’un 2020’den beri aktif olduğunu ve çoğunlukla cryptojacking kampanyaları yürüttüğünü veya hizmet olarak kötü amaçlı yazılım (MaaS) için kötü amaçlı yazılım oluşturduğunu ortaya koyuyor.
Cado Labs’ın araştırmasına göre Diicot, yeni kampanyasında Cayosin botnet’i konuşlandırırken, ana hedeflerinden biri de şifre kimlik doğrulaması etkinleştirilmiş internete açık SSH sunucuları. İlginç bir şekilde, kullanıcı adı ve şifre listesi, yalnızca varsayılan veya tahmin etmesi kolay kimlik bilgileri dahil olmak üzere oldukça kısıtlayıcıdır.
Diicot’un Eşsiz TTP’lerini İncelemek
Diicot, yükleyici komut dosyalarının analiz edilmesini zorlaştırmak için büyük ölçüde Shell Komut Dosyası Derleyicisine güvenir. Ek olarak, 0x59545399 bayt dizisine sahip değiştirilmiş bir başlık kullanarak yükleri UPX’in özel bir sürümüyle paketlerler.
Bir UPX başlığı, standart komut (upx -d) yoluyla paketin açılmasını engeller, ancak Akamai’nin Larry Cashdollar’ı tarafından oluşturulan upx dex yardımcı programı aracılığıyla atlatılabilir ve sıralama, algılama araçlarıyla tanımlanabilir.
Ayrıca Diicot, bir webhook URL’sine yönelik HTTP POST isteklerini desteklediği için C2’yi kurmak için sık sık Discord’u kullanır. Grup, bağlantılarda Snowflake zaman damgaları içerir, bu da veri hırsızlığına ve belirli bir kanalda kampanya istatistiklerinin ve oluşturma tarihlerinin görüntülenmesine olanak tanır.
Cado araştırmacıları, blog gönderilerinde Diicot’un bu kampanyada kullandığı dört farklı kanal belirlediklerini açıkladı. Linux tabanlı işletim sistemi OpenWRT çalıştıran yönlendiricileri hedeflemek için kullanıma hazır Mirai tabanlı bir botnet aracısı olan Cayosin botnet’i konuşlandırmak, yeni benimsenen bir taktiktir ve grubun hedeflerini inceledikten sonra saldırı stilini değiştirdiğini gösterir.
Yük Analizi
Genel olarak, Diicot grubunun kampanyaları, yüklerin ve çıktıların birbirine bağlı bir ilişkiyi paylaştığı uzun bir yürütme zincirine sahiptir. Shc yürütülebilir dosyaları, sistemi özel bir XMRig sürümü aracılığıyla madencilik için hazırlayan yükleyiciler olarak işlev görür.
İlk erişim, “takma adlar” adı verilen özel, Golang tabanlı 64-bit SSH kaba kuvvet aracıyla sağlanır. Saldırıyı gerçekleştirmek için hedeflenecek bir IP adresleri ve kimlik bilgisi çiftleri listesi alır. “Takma adların” bir OpenWrt yönlendiriciyle karşılaşması durumunda, Cayosin botnet aracısının ikili dosyalarını (çoklu 32-bit ELF ikili dosyaları) almak için “bins.sh” adlı Mirai tarzı bir yayıcı komut dosyası başlatılır.
SHC ayrıca, sistemde dörtten fazla işlemci çekirdeği varsa ve kullanıcı kimliği 0’a (kök) eşitse, parolayı sabit kodlanmış bir değere çevirerek ve XMRig’i yükleyerek kripto para madenciliği için bir kabuk komut dosyası çalıştırır. Kullanıcı root değilse, payload, date komutu, sha256sum ve base64 aracılığıyla bir parola oluşturur.
Sonucun ilk 8 karakteri şifre olarak kullanılır. Diicor, sistem erişimini sürdürmek için madenciyi çalıştırdıktan sonra SSH anahtarını kaydeder ve çalışmayı durdurursa madenciyi yeniden başlatmak için basit bir komut dosyası oluşturur. Kullanıcılar, IP’lere erişimlerini sınırlamak için SSH örnekleri için anahtar tabanlı kimlik doğrulama ve güvenlik duvarı kuralları gibi SSH sağlamlaştırmaları uygulamalıdır.
doxxing
Öte yandan Akamai’nin araştırmacıları, Diicot’un hala onu konuşlandırmanın yollarını araştırdığını ve artık DDoS saldırıları da gerçekleştirebileceğini iddia ediyor. Diicot’un sunucuları incelendiğinde, Diicot ile grubun rakip bilgisayar korsanlığı grubu üyelerine ait çevrimiçi kişiler arasındaki bir anlaşmazlığı gösteren Romence dilinde bir kişisel bilgi edinme videosu da keşfedildi.
O videoda, bu üyelerin fotoğrafları, tam adları, çevrimiçi tanıtıcıları ve ev adresleri dahil olmak üzere kişisel ayrıntılarından bahsediliyor.
“Bundan, grubun yukarıda belirtilen alçakça faaliyetlere ek olarak, halkın bilgilendirilmesinde aktif olarak yer aldığı sonucuna varılabilir.”
Güvenlik
İLGİLİ MAKALELER
- ShellBot DDoS Kötü Amaçlı Yazılımı Linux SSH Sunucularını Hedefliyor
- Tiny Mantis Botnet, Mirai’den Çok Daha Güçlü
- Mirai Variant V3G4, DDoS Saldırıları için IoT Cihazlarını Kullanıyor
- 400 bin PC’ye virüs bulaştıran Rumenlere 20 yıl hapis
- Rumen, fidye yazılımı saldırıları ve veri hırsızlığı nedeniyle tutuklandı