Gafgyt Botnet IOCs

botnet IOC

Исследователи Trend Micro Research заметили, что злоумышленники используют неправильно настроенные серверы Docker Remote API для развертывания вредоносной программы Gafgyt, что свидетельствует об отходе от ее традиционной направленности на IoT-устройства.

Gafgyt Botnet

Злоумышленники создают Docker-контейнер с использованием легитимного образа «alpine» для развертывания вредоносной программы ботнета Gafgyt, которая затем может осуществлять DDoS-атаки по различным протоколам, таким как UDP, TCP и HTTP. Атака заключается в загрузке бинарного файла ботнета Gafgyt с жестко заданным IP-адресом командно-контрольного (C&C) сервера и его выполнении внутри контейнера. Если первоначальное развертывание не удается, злоумышленники пытаются развернуть другой вариант двоичного файла Gafgyt или сценарий оболочки, который загружает и выполняет двоичные файлы ботнета для различных архитектур системы.

Злоумышленники используют команду «chroot» для изменения корневого каталога контейнера, что позволяет им получить доступ к файловой системе хоста и потенциально изменить ее, что может привести к повышению привилегий и контроля над хост-системой. Вредоносная программа связывается с C&C-сервером и, основываясь на ответах сервера, выполняет такие действия, как проведение DDoS-атак. Злоумышленники также пытаются узнать локальный IP-адрес хоста-жертвы с помощью DNS-сервера Google.

Indicators of Compromise

IPv4

  • 178.215.238.24
  • 178.215.238.31

URLs

  • http://178.215.238.24/rbot
  • http://178.215.238.31/atlas.i586
  • http://178.215.238.31/bins/atlas.arm4
  • http://178.215.238.31/bins/atlas.arm5
  • http://178.215.238.31/bins/atlas.arm6
  • http://178.215.238.31/bins/atlas.arm7
  • http://178.215.238.31/bins/atlas.i586
  • http://178.215.238.31/bins/atlas.i686
  • http://178.215.238.31/bins/atlas.m68k
  • http://178.215.238.31/bins/atlas.mips
  • http://178.215.238.31/bins/atlas.mipsel
  • http://178.215.238.31/bins/atlas.sh4
  • http://178.215.238.31/cve.sh

SHA256

  • 0b7e14e3305fd25b250ad494c014b0f8dfefaf0f3e8413bd797db12dd2eb9d8c
  • 156c85a09a1d5d753ce3fd128e0bb6097bb5b18e6cc0ffe6f9bc99a218a21ed9
  • 19778568781fd397ee2415d0a3593ffcaff4f333cdc27e52a1b23e07de08fdb6
  • 36ee47d10acbf8fbc7b16d4d237e2be567491b95dcd333856268c6c63a02f358
  • 68c215494fd35e097bf76eb3886b95ec66fdc707ebcf10f221b4db4ac2cd6d70
  • 6b385dc32daff689c1c448bf5f9151996abbac730e167a9cbfa9111591f253ea
  • a79a9653209c9d942dee0be597e04845fc5250880edcc5c3cb50110153925a03
  • b7f0ac1551ab58a1b84ba8e63dfc98dd126f7abe686137cbffc8ff95bfbac1ba
  • bb2bd8819045055af5295c23d1293b2d215fabe7dcf097813b9624ab98a13976
  • c1c03eab6bbca461f4a9dc7395103cdb0aa018563e835150c66228f3d7edadaa
  • ed6c93faebd9a60e132f4f952a1b516e758ce0e445b225eb702dfd2c8c2db6c0
  • f7004355f2bf653d3f055bc674822f99a8ff3692a02c1aec6b727a782e37b836
  • f8388cba15175fa7fda8daacfd095972e1a96faaabeede411f99f42f71ae395b
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий