MCCrash DDoS botnet IOCs

botnet IOC

Исследовательская группа Microsoft Defender for IoT недавно проанализировала кросс-платформенный ботнет, который возникает из загрузок вредоносного ПО на устройствах Windows и успешно распространяется на различные устройства на базе Linux.

Ботнет распространяется путем перечисления учетных данных по умолчанию на устройствах с поддержкой Secure Shell (SSH), подключенных к Интернету. Поскольку IoT-устройства обычно имеют возможность удаленной настройки с потенциально небезопасными параметрами, эти устройства могут быть подвержены атакам, подобным этой бот-сети. Механизм распространения ботнета делает его уникальной угрозой, поскольку, хотя вредоносное ПО может быть удалено с зараженного компьютера, оно может сохраниться на неуправляемых IoT-устройствах в сети и продолжать работать как часть ботнета.

Microsoft отслеживает этот кластер активности как DEV-1028, кросс-платформенный ботнет, заражающий устройства Windows, Linux и IoT-устройства. Известно, что ботнет DEV-1028 осуществляет распределенные атаки типа "отказ в обслуживании" (DDoS) на частные серверы Minecraft.

Анализ ботнета DDoS выявил функциональные возможности, специально разработанные для атак на частные Java-серверы Minecraft с использованием поддельных пакетов, скорее всего, в качестве услуги, продаваемой на форумах или сайтах даркнета. Анализ систем, пострадавших от ботнета за три месяца с момента проведения анализа, также показал, что большинство устройств находилось в России:

Этот тип угроз подчеркивает важность того, чтобы организации управляли, обновляли и контролировали не только традиционные конечные точки, но и устройства IoT, которые зачастую менее безопасны.

Indicators of Compromise

Domains

  • repo.ark-event.net

SHA256

  • 143614d31bdafc026827e8500bdc254fc1e5d877cb96764bb1bd03afa2de2320
  • 202ac3d32871cb3bf91b7c49067bfc935fbc7f0499d357efead1e9f7f5fcb9d1
  • 4e65ec5dee182070e7b59db5bb414e73fe87fd181b3fc95f28fe964bc84d2f1f
  • 93738314c07ea370434ac30dad6569c59a9307d8bbde0e6df9be9e2a7438a251
  • e3361727564b14f5ee19c40f4e8714fab847f41d9782b157ea49cc3963514c25
  • eb57788fd2451b90d943a6a796ac5e79f0faf7151a62c1d07b744a351dcfa382
  • f9c7dd489dd56e10c4e003e38428fe06097aca743cc878c09bf2bda235c73e30

 

SEC-1275-1
Добавить комментарий