Главная страница » IOC
0
6 месяцев
IOC

LinuxRC Backdoor IOCs

security

Аналитический центр AhnLab Security (ASEC) использует медовые точки для отслеживания атак на нерегулируемые Linux-серверы, особенно наследуемые через службу SSH. Недавно была обнаружена атака на HiveOS, операционную систему, предназначенную для майнинга криптовалюты. Злоумышленники использовали некорректно сконфигурированный SSH-сервис и загрузили вредоносный Bash-скрипт с именем "run", который выполнял команды для майнинга криптовалюты и устанавливал бэкдор LinuxRC.

LinuxRC Backdoor

HiveOS - это операционная система, предназначенная для майнинга криптовалют и используемая для эффективного управления и мониторинга нескольких майнинговых установок. С ее помощью можно автоматизировать и оптимизировать задачи по добыче криптовалюты.

HiveOS позволяет эффективно управлять и мониторить майнинговые установки, поэтому, как и другие Linux-серверы, они подвержены атакам при неправильном управлении. Атаки на HiveOS обычно связаны с созданием учетных записей SSH-бэкдоров. В данном случае злоумышленники просканировали публичные службы SSH и, используя атаку грубой силы, получили доступ к системе, добавив учетную запись "hive" и установив пароль. Затем они загрузили и запустили вредоносный Bash-скрипт "run", который выполнял различные действия, включая создание учетной записи бэкдора и установку дополнительной полезной нагрузки.

Бэкдор LinuxRC, известный как "Autofan", был использован для удаленного контроля взломанной системы. Он поддерживает просмотр файлов, выполнение команд и обратную оболочку. Кроме того, вредоносный код Bash-скрипта "nvidia-conf" был загружен и использовался для настройки майнера HiveOS для добычи криптовалюты Ravencoin.

Майнинг Ravencoin был выбран злоумышленниками, чтобы использовать ресурсы зараженной системы HiveOS для добычи этой криптовалюты. Ravencoin - это блокчейн-платформа, которая специализируется на передаче и управлении активами. Злоумышленники заменяли файл кошелька в HiveOS, чтобы получать добытые монеты.

Такие атаки на нерегулируемые Linux-серверы продолжаются уже несколько лет и требуют внимательного управления и мониторинга со стороны администраторов. Ключевой момент в предотвращении таких атак - правильная конфигурация служб SSH и регулярное обновление и защита системы, чтобы предотвратить несанкционированный доступ и установку вредоносного программного обеспечения.

Indicators of Compromise

IPv4

  • 222.103.211.25

URLs

  • http://are.cloudns.org:12300/hfs/miners/autofan
  • http://are.cloudns.org:12300/hfs/miners/autofan.service
  • http://are.cloudns.org:12300/hfs/nvidia-conf-delay
  • http://are.cloudns.org:12300/hfs/overclock.service
  • http://are.cloudns.org:12300/hfs/run

MD5

  • 1453e39da61777e617ff2da815905c63
  • 2d24ab3191541c45a12bde89ea12478f
  • 8a6ca9c05e1849522f993ce48af1ee6d
  • e609138ef098be4a6f874f54ca565d19
Комментарии: 0
Похожие записи
0
4 дня
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят
0
8 дней
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
14 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.