Исследователи Cado Security Labs недавно столкнулись с новой кампанией вредоносного ПО, нацеленной на неправильно сконфигурированные серверы с веб-сервисами.
Кампания использует ряд уникальных и несообщаемых полезных нагрузок, включая четыре двоичных файла Golang, которые служат инструментами для автоматизации обнаружения и заражения хостов, на которых запущены вышеуказанные сервисы. С помощью этих инструментов злоумышленники выпускают код эксплойта, используя распространенные ошибки конфигурации и уязвимость n-day, для проведения атак с удаленным выполнением кода (RCE) и заражения новых хостов.
После получения первоначального доступа используется ряд сценариев оболочки и общие методы атаки на Linux для доставки криптовалютного майнера, создания обратной оболочки и обеспечения постоянного доступа к скомпрометированным хостам.
Indicators of Compromise
IPv4
- 107.189.31.172
- 209.141.37.110
- 47.96.69.71
Domains
- b.9-9-8.com
URLs
- http://b.9-9-8.com/brysj/cronb.sh
- http://b.9-9-8.com/brysj/d/ar.sh
- http://b.9-9-8.com/brysj/d/c.sh
- http://b.9-9-8.com/brysj/d/d.sh
- http://b.9-9-8.com/brysj/d/enbio.tar
- http://b.9-9-8.com/brysj/d/h.sh
SHA256
- 0c3fe24490cc86e332095ef66fe455d17f859e070cb41cbe67d2a9efe93d7ce5
- 0c7579294124ddc32775d7cf6b28af21b908123e9ea6ec2d6af01a948caf8b87
- 251501255693122e818cadc28ced1ddb0e6bf4a720fd36dbb39bc7dedface8e5
- 5a816806784f9ae4cb1564a3e07e5b5ef0aa3d568bd3d2af9bc1a0937841d174
- 64d8f887e33781bb814eaefa98dd64368da9a8d38bd9da4a76f04a23b6eb9de5
- afddbaec28b040bcbaa13decdc03c1b994d57de244befbdf2de9fe975cae50c4
- d4508f8e722f2f3ddd49023e7689d8c65389f65c871ef12e3a6635bbaeb7eb6e
- d45aca9ee44e1e510e951033f7ac72c137fc90129a7d5cd383296b6bd1e3ddb5
- e71975a72f93b134476c8183051fee827ea509b4e888e19d551a8ced6087e15c