Medusa Botnet IOCs

botnet IOC

С 2016 года Mirai является активным ботнетом, который нацелен на сетевые устройства под управлением Linux с уязвимостями. Ботнет использует эти уязвимости в таких устройствах, как маршрутизаторы, IP-камеры и IoT-устройства, чтобы использовать их и получить полный контроль над машиной. Получив такой контроль, Mirai может осуществлять различные вредоносные действия, включая распределенные атаки типа "отказ в обслуживании" (DDoS) и загрузку дополнительного вредоносного ПО.

Medusa Botnet

Ботнет Medusa имеет возможность запускать распределенные атаки типа "отказ в обслуживании" (DDoS) на различных уровнях сетевой иерархии, включая уровни 3, 4 и 7. Эти атаки могут осуществляться как с использованием поддельных IP-адресов, так и IP-адреса машины жертвы, на которой установлен клиент. Ботнет использует функцию spoofer() для генерации случайных IP-адресов, что затрудняет для жертв определение происхождения DDoS-атаки.

Ботнет Medusa может запускать атаки на целевые машины с помощью функции MedusaRansomware(). Эта функция ищет во всех каталогах файлы с расширениями, указанными в списке "extensions", а затем шифрует их, добавляя к имени файла расширение ".medusastealer".

Программа-вымогатель шифрует файлы жертвы с помощью библиотеки Python, которая позволяет шифровать файлы с помощью 256-битного ключа шифрования AES. Она не шифрует системные файлы и уже зашифрованные файлы.

Бот medusa может проводить атаки методом перебора на службы Telnet, работающие на подключенных к Интернету устройствах, используя функцию ScanWorld. Он выполняет атаку грубой силы и внедряет дополнительную полезную нагрузку, выполняя следующие действия:

  • Начинается с определения двух списков, username_scanner и password_scanner, которые содержат часто используемые имена пользователей и пароли.
  • Затем он загружает файл полезной нагрузки "client-tcp" с помощью "wget" (URL: hxxps[:]//medusa-stealer[.]cc/payload/client-tcp) и сохраняет его в переменной infection_medusa_stealer. Ссылка на загрузку была недоступна во время анализа, поэтому точное назначение "client-tcp" пока неизвестно.
  • Затем функция выполняет команду zmap для сканирования подключенных к Интернету устройств с Telnet-сервисами, работающими на порту 23, и сохраняет результаты в файле "zmap.txt".
  • Затем она считывает IP-адреса из файла "zmap.txt" и пытается подключиться к службам Telnet, работающим на этих IP-адресах.
  • Функция пробует все комбинации имен пользователей и паролей для каждого IP-адреса из списков username_scanner и password_scanner.
  • Если соединение Telnet установлено, функция отправляет вредоносную полезную нагрузку, infection_medusa_stealer, на подключенную систему, используя атаку перебором.

Ботнет Medusa оснащен оборудованием для приема команд "FivemBackdoor" и "sshlogin", что позволяет осуществлять бэкдор-доступ и попытки входа по SSH. Однако отсутствие соответствующего кода в клиентском Python-файле указывает на то, что ботнет Medusa либо все еще находится на стадии разработки, либо проанализированные файлы неполны.

Функция send_data() используется для сбора различной информации о системе и отправляет ее на удаленный сервер по адресу "hxxps://medusa-stealer[.]cc/add/bot". Функция send_data() вызывает внутреннюю функцию all_data_system(), которая собирает такую информацию, как имя пользователя, имя хоста, IP-адрес, операционная система, использование процессора и оперативной памяти, общее количество ядер процессора и уникальный идентификатор системы. Эта собранная информация хранится в словарной переменной 'data' и возвращается функцией.

Далее функция send_data() отправляет украденную информацию жертвы на удаленный сервер методом POST вместе с пользовательским заголовком "User-Agent" "medusa-stealer/1.0".

С ростом популярности Linux-машин, акторы угроз усовершенствовали свои методы атаки на эти системы. В данном сценарии угрозы используют известный ботнет Mirai Linux для распространения нового вредоносного ПО под названием Medusa botnet, которое не только обладает DDoS-возможностями, но и может осуществлять атаки с целью выкупа, перебора, загрузки дополнительной полезной нагрузки и кражи конфиденциальной информации с машины жертвы.

Indicators of Compromise

Domains

  • medusa-stealer.cc

URLs

  • http://45.145.167.117/medusa_stealer.sh

User-Agent

  • medusa-stealer/1.0

MD5

  • 14655930fab2319ff9cd5187a0caa242
  • 1eee2293e51b01300c75b649715e472d
  • 336674857b5ede1e09daeff1a14adedc
  • e3a08ffb7106ece9612d3aa8078a8287
  • ed24c7c0b73887e35f1c12ab0dda98fe
  • ed64d941fd8603196c0e31ae58c1992d

SHA1

  • 088332f4ff6b6a12f094a429d6f60ec500d3d85b
  • 3bcbc498de18d91a1d05e428fa94e4145959fbd2
  • 54c67bb062d73ae9fabf5f0e1e2136e05cb6e69b
  • b2134b18e827402378da09a8dcd9da92509e8131
  • c059eec897c48b81cfc6a6765e176cc88231c31e
  • dc6ea04feb31eb9539f577d7965d0fb925dd7e52

SHA256

  • 2491bb75c8a3d3b8728ab46a933cd81f8176c1f9d7292faeecea67d71ce87b5c
  • 2f2759b5933f06c9fdbc87ea941e8ef53ea0e3b715afd57de52ed2927d197c33
  • 48f5f09ddd7089a9397d26e219eb1a1a937c3238f7ecdc7cdfc5383141d77ad9
  • 5799ee35a334f839bb666a0136ca2615390d0b7fb6a14875bafbfab3414045e9
  • 87b5ba7da8aa64721baca0421a01e01bb1f1ca8a2f73daa3ca2f5857e353c182
  • bce94b214a6bae00b03ada34c66210d9143895d6c0be9e21c10e9951cc469fbf
SEC-1275-1
Добавить комментарий