Эксперты Kaspersky обнаружили активность ботнета Outlaw (также известного как Dota), который использует слабые SSH-учетные данные для заражения Linux-серверов. Вредонос распространяет криптомайнер XMRig и бэкдор на Perl, позволяющий злоумышленникам выполнять команды, сканировать порты и проводить DDoS-атаки.
Описание
Как работает атака?
Атака начинается с подбора SSH-учетных данных. После взлома злоумышленники загружают скрипт (tddwrt7s.sh), который скачивает вредоносный архив dota.tar.gz. Внутри него содержится скрытая папка .configrc5 с несколькими компонентами:
- Майнер XMRig (модифицированная версия) — использует ресурсы CPU для добычи Monero.
- Персистентность — злоумышленники перезаписывают SSH-ключи, чтобы сохранить доступ к системе.
- Ботнет на Perl — подключается к IRC-серверу, позволяя атакующим выполнять команды, запускать DDoS-атаки и сканировать порты.
Интересно, что ботнет проверяет наличие других майнеров и убивает их процессы, чтобы избежать конкуренции за ресурсы.
География атак
По данным Kaspersky, основными целями Outlaw стали США, Германия, Италия, Таиланд, Сингапур, Тайвань, Канада и Бразилия. После спада активности в декабре 2024 – феврале 2025 года в марте 2025 года число атак резко возросло.
Индикаторы компрометации
IPv4
- 45.9.148.99
SHA1
- 15f7c9af535f4390b14ba03ddb990c732212dde8
- 4d5838c760238b77d792c99e64bd962e73e28435
- 982c0318414c3fdf82e3726c4ef4e9021751bbd9
- d0ba24f9fad04720dff79f146769d0d8120bf2ff
- f2b4bc2244ea8596a2a2a041308aa75088b6bbd5
