Rekoobe Backdoor IOCs

Spyware IOC
Опубликовано

Rekoobe - это бэкдор, известный по использованию группой APT31, базирующейся в Китае. Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) на протяжении нескольких лет получает сообщения о вредоносной программе Rekoobe в Корее

Rekoobe Backdoor

Rekoobe - это бэкдор, нацеленный на Linux-среды. Впервые он был обнаружен в 2015 году, а в 2018 году был зафиксирован случай использования в атаках его обновленной версии.  Судя по поддерживаемым архитектурам (x86, x64 и SPARC), считается, что Rekoobe в формате ELF предназначен в первую очередь для Linux-серверов.

Известно, что Rekoobe был создан на основе исходного кода программы с открытым исходным кодом Tiny SHell, которая находится в открытом доступе на GitHub, и поддерживает основные функции, как следует из названия "Tiny". [3] Помимо вспомогательных функций, таких как изменение имени процесса, он обладает еще только тремя возможностями. Он может скачивать, загружать и выполнять команды с C&C-сервера. В связи с тем, что Rekoobe и подобные ему варианты имеют открытый исходный код, классификация их может быть затруднена, однако в данной статье будут проанализированы общеизвестные варианты Rekoobe.

Информация о способах установки Rekoobe на Linux-системы и их конкретных целях ограничена. Однако известно, что Rekoobe является штаммом вредоносного ПО, используемым китайской угрожающей группой APT31.

Как правило, вредоносные программы, нацеленные на Linux-серверы, ориентированы на плохо управляемые серверы или серверы, уязвимые из-за того, что не были обновлены до последней версии. Следует отметить, что не было подтвержденных случаев использования Rekoobe для сканирования и проведения брутфорс-атак на несколько Linux-серверов.

В связи с этим можно предположить, что атакам могут подвергаться Linux-серверы, уязвимые в первую очередь из-за отсутствия регулярных обновлений или плохой конфигурации, а не системы со слабыми учетными данными. Кроме того, были зафиксированы случаи атак на цепочки поставок, когда угрожающий агент использовал популярный плагин WordPress и устанавливал Rekoobe для получения контроля над взломанными системами.

Indicators of Compromise

IPv4 Port Combinations

  • 139.162.116.218:18120
  • 172.105.200.233:3661

Domain Port Combinations

  • resolv.ctmailer.net:80
  • www.jxedunavi.com:443

MD5

  • 03a87253a8fac6d91d19ea3b47e2ca6c
  • 5f2e72ff741c4544f66fec16101aeaf0
  • 7851833a0cc3482993aac2692ff41635
  • 8921942fb40a4d417700cfe37cce1ce7
Похожие записи:
  1. Sliver Malware IOCs
  2. Bvp47 Backdoor IOCs
  3. Daxin Backdoor IOC
  4. B1txor20 Backdoor IOC
  5. FatalRAT Backdoor IOC
APT31 ASEC Backdoor Rekoobe
Добавить комментарий