Исследователи из Cado Labs недавно обнаружили повторное появление угрожающего агента WatchDog. WatchDog является оппортунистическим и известным агентом угроз, который известен тем, что регулярно проводит атаки криптоджекинга на ресурсы, размещенные различными поставщиками облачных услуг.
WatchDog по-прежнему активен и представляет значительную угрозу для пользователей провайдеров облачных услуг, таких как Tencent и Alibaba Cloud. В проанализированном сценарии оболочки было замечено несколько приемов, характерных для этого агента угрозы, а повторное использование определенного кошелька Monero сделало атрибуцию относительно простой.
Интересным наблюдением стало наличие кода, используемого для удаления исполняемых файлов TeamTNT. Cado Labs видели свидетельства того, что группы, занимающиеся облачным криптоджекингом, постоянно обновляют свои знания об угрозах, так что, возможно, это указывает на то, что WatchDog сталкивалась с доказательствами деятельности TeamTNT во время своих кампаний.
Indicators of Compromise
IPv4
- 139.99.102.72
- 80.211.206.105
IPv4 Port Combinations
- 139.99.102.72:14433
- 80.211.206.105:9000
Domains
- bohemianpool.com
- nanopool.org
SHA256
- 47d69b281d9cbaca0638f8ca304d40fa04991c870ea8b65388bd42eb266cf2c0
- c68a82fc2e8f27ef017a69b951c92d4336c6b657e8666dbb58395bac195d00cb