Группа анализа ASEC недавно обнаружила, что вредоносная программа для Linux, разработанная с помощью Shc, устанавливала CoinMiner. Предполагается, что после успешной аутентификации через атаку по словарю на неадекватно управляемых Linux SSH-серверах, на целевую систему устанавливались различные вредоносные программы. Среди установленных были загрузчик Shc, XMRig CoinMiner, установленный через первый, и DDoS IRC Bot, разработанный на Perl.
Indicators of Compromise
IPv4
- 167.172.103.111
- 172.104.170.240
- 172.105.211.21
IPv4 Port Combinations
- 157.230.116.194:80
- 64.227.112.247:80
Domains
- hostname.help
URLs
- http://172.104.170.240/snunewa.tar
- http://172.105.211.21/snunewa.tar
- http://172.105.211.21/xmrig
- http://pateu.freevar.com/xmrminer2.tgz
- http://wget.hostname.help/
- http://wget.hostname.help/driver.zip
MD5
- 077279a2ae5b1bc89540a1293fa807f1
- 16b7ef9cbc89ccc08f5fcd80e473c169
- 1f0e5f4736a567a631946a0d9878fad7
- 48e5ce77980d52c68a7bbfd091756036
- 497bec45d865b2a9165699433c64816c
- 6fa237ce385dc9495246bc4498b64c2d
- 7650957bf7d798b284ea01a732ad07a5
- a2c7c9e3b468e7e02e882066b05c55c3
- a2fd0f3e18259d0bba9ebbf910e925c4
- c13e7e87e800a970df4d113d60e75ab4
- c15ed837bd367fd4f66562b57b8fb57c
- c1e65d481af4e6d4bad74cca4e8737cb
SHA256
- 01a1aa3cd4831197c4c97164d721dca41bbec2ba98ec6813979dcb2820ab44e1
- 256ab7aa7b94c47ae6ad6ca8ebad7e2734ebaa21542934604eb7230143137342
- 475f9904f364d81df0f764a81a2c9659902114554bdf9616aaab95dd4b705f9e
- 594de7235259985c6235b88f1989adc07d1de6c35ebbe141c9ba1a9e3f950436
- 9b2a392a435c89d0e13759cafba001d90224c3989ce909b8fc00abff116a7264
- ca52fc8684b345ed2bd1916df7c0b9d3c22441d5b117b1a93a9868caacd032df
- d2626acc7753a067014f9d5726f0e44ceba1063a1cd193e7004351c90875f071