XorDdos Trojan IOCs

remote access Trojan IOC
Опубликовано

Исследовательская группа Microsoft 365 Defender зафиксировала 254% рост активности универсального Linux-трояна под названием XorDdos за последние шесть месяцев

XorDdos Malware

За последние шесть месяцев Microsoft 365 Defender наблюдали 254%-ный рост активности трояна для Linux под названием XorDdos. Впервые обнаруженный в 2014 году исследовательской группой MalwareMustDie, XorDdos был назван в честь своей деятельности, связанной с отказом в обслуживании конечных точек и серверов Linux, а также использования шифрования на основе XOR для обмена данными.

XorDdos отражает тенденцию, когда вредоносные программы все чаще нацеливаются на операционные системы на базе Linux, которые обычно устанавливаются в облачных инфраструктурах и устройствах Интернета вещей (IoT). Компрометируя IoT и другие подключенные к Интернету устройства, XorDdos собирает ботнеты, которые можно использовать для проведения распределенных атак типа "отказ в обслуживании" (DDoS). Использование ботнета для проведения DDoS-атак потенциально может привести к значительным сбоям в работе, как, например, DDoS-атака мощностью 2,4 Тбит/с, которую Microsoft предотвратила в августе 2021 года. DDoS-атаки сами по себе могут быть весьма проблематичными по многим причинам, но такие атаки также могут использоваться в качестве прикрытия для дальнейших вредоносных действий, таких как развертывание вредоносного ПО и проникновение в целевые системы.

Ботнеты также могут использоваться для компрометации других устройств, а XorDdos известен тем, что использует атаки грубой силы Secure Shell (SSH) для получения удаленного контроля над целевыми устройствами. SSH является одним из наиболее распространенных протоколов в ИТ-инфраструктурах и позволяет осуществлять зашифрованные коммуникации через незащищенные сети для удаленного администрирования систем, что делает его привлекательным вектором для злоумышленников. Как только XorDdos определяет действительные учетные данные SSH, он использует привилегии root для запуска сценария, который загружает и устанавливает XorDdos на целевое устройство.

XorDdos использует механизмы уклонения и сохранения, которые позволяют ему оставаться надежным и незаметным. Его возможности уклонения включают обфускацию действий вредоносной программы, обход механизмов обнаружения на основе правил и поиска вредоносных файлов по хэшу, а также использование антикриминалистических методов для разрушения анализа дерева процессов. В ходе последних кампаний мы наблюдали, что XorDdos скрывает вредоносную деятельность от анализа, перезаписывая важные файлы нулевым байтом. Он также включает различные механизмы персистенции для поддержки различных дистрибутивов Linux.

XorDdos может служить иллюстрацией другой тенденции, наблюдаемой на различных платформах, когда вредоносное ПО используется для доставки других опасных угроз. Microsoft 365 Defender обнаружили, что устройства, впервые зараженные XorDdos, впоследствии были инфицированы дополнительным вредоносным ПО, таким как бэкдор Tsunami, который в дальнейшем развертывает майнер монет XMRig. Хотя исследователи не наблюдали, чтобы XorDdos непосредственно устанавливал и распространял вторичные полезные нагрузки, такие как Tsunami, вполне возможно, что троян используется в качестве вектора для последующих действий.

Indicators of Compromise

Domains

  • www.enoan2107.com
  • www.gzcfr5axf6.com

Domains and port

  • www.enoan2107.com:3306
  • www.gzcfr5axf6.com:3306

URLs

  • http://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1.txt
  • http://aa.hostasa.org/config.rar

MD5

  • f05194fb2b3978611b99cfbf5e5f1dd44cd5e04b

SHA1

  • f05194fb2b3978611b99cfbf5e5f1dd44cd5e04b

SHA256

  • 175667933088fbebcb62c8450993422ccc876495299173c646779a9e67501ff4
  • 2b4500987d50a24ba5c118f506f2507362d6b5c63c80b1984b4ae86641779ff3
  • 359c41da1cbae573d2c99f7da9eeb03df135f018f6c660b4e44fbd2b4ddecd39
  • 360a6258dd66a3ba595a93896d9b55d22406d02e5c02100e5a18382c54e7d5cd
  • 53f062a93cf19aeaa2f8481b32118a31b658a126624abb8a7d82237884f0a394
  • 6e506f32c6fb7b5d342d1382989ab191c6f21c2d311251d8f623814f468952cf
  • 798577202477c0c233d4af51c4d8fb2f574ddb3c9d1d90325d359a84cb1bd51c
  • 932feef3ab6fccb3502f900619b1f87e1cb44a7adab48f2c927ecdd67ff6830a
  • 9d6f115f31ee71089cc85b18852974e349c68fad3276145dafd0076951f32489
  • b5fba27a8e457c1ab6573c378171f057d151dc615d6a8d339195716fa9ac277a
  • c8f761d3ef7cd16ebe41042a0daf901c2fdffce96c8e9e1fa0d422c6e31332ea
  • cbb72e542e8f19240130fc9381c2351730d437d42926c6e68e056907c8456459
  • d71ea3b98286d39a711b626f687f0d3fc852c3e3a05de3f51450fb8f7bd2b0d7
  • dc2b1cee161ebe90be68561755d99e66f454ad80b27cebe3d4773518ac45cbb7
  • e6c7eee304dfc29b19012ef6d31848c0b5bb07362691e4e9633c8581f1c2d65b
  • ef0a4c12d98dc0ad4db86aadd641389c7219f57f15642ed35b4443daf3ff8c1e
  • f2df54eb827f3c733d481ebb167a5bc77c5ae39a6bda7f340bb23b24dc9a4432
Похожие записи:
  1. Tarrask Malware IOC
  2. ZLoader Trojan IOC
  3. Ursnif Trojan IOCs
  4. Атаки Ransomware на критическую инфраструктуру финансируют вредоносную кибердеятельность КНДР
  5. DEV-0196 Malware IOCs
Malware Microsoft trojan XorDdos
Добавить комментарий