Исследователи Cado Labs обнаружили интересную схему атак, приписываемую угрожающему агенту Diicot (ранее "Mexals").
Исследование C2-сервера, используемого Diicot, привело к обнаружению нескольких полезных нагрузок, некоторые из которых не имели публичной отчетности и отсутствовали в общедоступных репозиториях вредоносного ПО. Похоже, что эти полезные нагрузки используются в рамках новой кампании этой новой группы.
Возможности и цели Diicot включают:
- развертывание самораспространяющегося инструмента начального доступа.
- использование пользовательских упаковщиков для обфускации двоичных полезных нагрузок
- Широкомасштабный криптоджекинг на скомпрометированных объектах
- Выявление уязвимых систем с помощью сканирования Интернета
- Раскрытие персональных данных предполагаемых врагов (doxxing)
- Развертывание агента ботнета, замешанного в DDoS-атаках
- C2-отчетность через Discord и собственную пользовательскую конечную точку API
Indicators of Compromise
IPv4
- 45.88.67.94
- 84.54.50.198
IPv4 Port Combinations
- 139.99.123.196:80
- 45.88.67.94:7777
Domains
- arhivehaceru.com
URLs
- http://pool.supportxmr.com:80
- https://discord.com/api/webhooks/1100666664623812650/_t9NyLTT_Rbg_Vr14n6YCBkseXrz-RpSe94SFIw-1Pyrkns80tU9uWJL3yjc3eLXo0IU
- https://discord.com/api/webhooks/1100666766339866694/ex_yUegpCF4NXGkT3sGFp3oWFUkJWE7XarcgTHRcAwmJQtG4pALhcj6PjKUTthNz_0u_
- https://discord.com/api/webhooks/1100666861424754708/pAzInuz8ekK5DmKyoKxmG4H8euCtLkBXZnS33EGnxdl0_hkL5OdRbInQqgdGiQ1U41WF
- https://discord.com/api/webhooks/1100669270297419808/UQ2bkUBe9JgAhtEIPYqpqKG6YVRW1fqEkadAY3u6PPmcgEVcYaSRiS37JILi2Vk32or6
SHA256
- 14779e087a764063d260cafa5c2b93d7ed5e0d19783eeaea6abb12d17561949a
- 180d30bf357bc4045f197b26b1b8941af9ca0203226a7260092d70dd15f3e6ab
- 437af650493492c8ef387140b5cb2660044764832d1444e5265a0cd3fe6e0c39
- 6bce1053f33078f3bbbd526162d9178794c19997536b821177f2cb0d4e6e6896
- 7389e3aada70d58854e161c98ce8419e7ab8cd93ecd11c2b0ca75c3cafed78cb
- 7d93419e78647d3cdf2ff53941e8d5714afe09cb826fd2c4be335e83001bdabf
- a163da5c4d6ee856a06e4e349565e19a704956baeb62987622a2b2c43577cdee
- aabf2ef1e16a88ae0d802efcb2525edb90a996bb5d280b4c61d2870351e3fba4
- d0e8a398a903f1443a114fa40860b3db2830488813db9a87ddcc5a8a337edd73
- de6dff4d3de025b3ac4aff7c4fab0a9ac4410321f4dca59e29a44a4f715a9864
- e9bbe9aecfaea4c738d95d0329a5da9bd33c04a97779172c7df517e1a808489c