В honeypots была обнаружена кампания, использующая уязвимость, которая загружает вредоносную программу Muhstik.
Сценарий оболочки загружает файл "pty3" с другого IP-адреса, который является ELF-файлом и, скорее всего, образцом вредоносного ПО Muhstik. Muhstik известна как программа, направленная на Linux-серверы и устройства Интернета вещей для криптомайнинга и DDoS-атак. Она имеет схожие шаблоны и соглашения об именовании со старыми образцами Muhstik, создает несколько связанных каталогов и общается с командно-контрольным доменом p.findmeatthe.top, который был ранее задокументирован в отношении кампании Muhstik, связанной с Internet Relay Chat.
Indicators of Compromise
IPv4
- 147.139.29.220
- 156.67.218.115
- 185.201.8.176
- 194.59.165.52
- 86.48.2.49
Domains
- p.deutschland-zahlung.eu
- p.findmeatthe.top
- p.shadow-mods.net
SHA256
- 1ae2fef05798f0f27e9de76fcef0217f282090fab1ba750623ca36b413151434
- 9e28f942262805b5fb59f46568fed53fd4b7dbf6faf666bedaf6ff22dd416572