疑似來自羅馬尼亞、至少從 2020 年開始活躍的一個黑客團伙正使用此前從未被記錄的 SSH 暴力破解器(使用 Golang 編寫),對使用 Linux 的設備發起加密劫持活動。在成功入侵之後,就會部署門羅幣(Monero)惡意挖礦軟件。
來自 Bitdefender 的安全研究人員在上周發布的安全公告中表示,這款稱之為“Diicot brute”的密碼破解工具通過軟件即服務(software-as-a-service)模型進行分發,每個威脅行為者都提供自己獨特的 API 密鑰以促進入侵。
在遠程攻擊成功之後除了部署惡意程序用於挖礦之外,該團伙還連接了至少 2 個 DDoS 殭屍網絡,包括一個名為 chernobyl 的 Demonbot 變體和一個 Perl IRC bot,以及 XMRig 自 2021 年 2 月起託管在名為 mexalz[.]us 的域上的挖礦負載。
Bitdefender 表示於 2021 年 5 月開始調查該組織的敵對在線活動,隨後發現了對手的攻擊基礎設施和工具包。該組織還以依靠一袋混淆技巧而聞名,這些技巧使他們能夠躲避安全軟件的審查。為此,Bash 腳本使用 shell 腳本編譯器 (shc) 進行編譯,並且發現攻擊鏈利用 Discord 將信息報告回其控制的渠道,這種技術在惡意行為者中變得越來越普遍用於指揮和控制通信並逃避安全。
研究人員說:“黑客竊取弱 SSH 憑據的情況並不少見。安全方面最大的問題之一是默認用戶名和密碼,或者弱憑據黑客可以通過蠻力輕鬆克服。棘手的部分不一定是蠻力強制這些憑據,而是以一種讓攻擊者未被發現的方式進行操作”。
