Злоумышленник с псевдонимом Larva-24011 длительное время атакует уязвимые системы с целью получения финансовой выгоды. Недавно обнаружено, что помимо установки CoinMiner (программы для добычи криптовалюты) и прокси-программ, злоумышленник также вовлечен в другие виды атак, такие как учетные записи бэкдоров и вредоносные программы удаленного управления. Обнаружено, что злоумышленник действует, по крайней мере, с 2021 года, атакуя серверы IIS, Tomcat и MS-SQL.
Larva-24011 APT
В начале атак злоумышленник использовал грубую силу и атаки по словарю для проникновения на серверы MS-SQL и установки CoinMiner. Позднее злоумышленник начал использовать также и прокси-программы для финансовой выгоды. В последние случаи атак злоумышленник устанавливает вредоносные программы удаленного управления, такие как Gh0st RAT, и добавляет учетные записи с бэкдорами. Также было обнаружено использование инструментов для контроля зараженными системами, таких как RDP Wrapper и прокси-инструменты.
Злоумышленник атакует неправильно управляемые серверы MS-SQL, а также веб-серверы, такие как IIS и Tomcat. В обнаруженных случаях атак на серверы IIS и Tomcat, используется веб-оболочка для установки вредоносной нагрузки. Некоторые из собранных веб-оболочек содержат китайский контент, что указывает на возможное владение злоумышленником китайским языком.
В отчете также описывается анализ вредоносного ПО. Злоумышленник использует SqlShell для установки прокси-программ и CoinMiner. Наблюдается установка прокси-программы Traffmonetizer, а также утилит Proxyrack, PacketStream и других. CoinMiner также был обнаружен в последних случаях атак, причем он маскируется под легитимную программу. Для установки вредоносного ПО злоумышленник создает папку "sqlbase" и загружает в нее вредоносное ПО под именем "SqlBase.exe".
Анализ данных показывает, что злоумышленник продолжает атаковать уязвимые системы с помощью различных методов, таких как грубая сила и атаки по словарю. Он устанавливает CoinMiner и прокси-программы для финансовой выгоды, а также вредоносные программы удаленного управления и бэкдоры. Особое внимание уделено атакам на серверы MS-SQL, IIS и Tomcat. Вредоносное ПО, используемое злоумышленником, включает в себя SqlShell, Traffmonetizer и CoinMiner, распространяемый в форме, замаскированной под легитимные программы.
Indicators of Compromise
Domains
- 5693.site
- dgz.love-network.cc
- dgz.se1f.cc
- servxer.love-network.cc
- servxermanual.love-network.cc
URLs
- http://14.241.195.78//NetUserwu.exe
- http://14.241.195.78//Server.exe
- http://14.241.195.78/AddUserC.exe
- http://14.241.195.78/NetUser40JK.exe
- http://14.241.195.78/NetUserC.exe
MD5
- 05b623046205d6b270e0ee6e15592278
- 091b1a93e2811d76bc710d78599fd5e7
- 09684d5265a03f5cf621a27c28c9e3cb
- 130437bff207afd5c5adb8f01a7b7bc2
- 131ca1648fda212a00e9a77b58343674