Outlaw Linux Malware: Простая, но опасная угроза для систем на базе Linux

Outlaw не отличается сложностью или изощренными методами обхода защиты, но его главное преимущество - настойчивость. Он внедряется в систему через SSH-брутфорс, устанавливает постоянный доступ через модификацию SSH-ключей и cron-заданий, а затем разворачивает модифицированный майнер XMRig. Кроме того, зловред использует публичные IRC-боты для удаленного управления зараженными машинами.

Особую опасность представляет его способность к самораспространению: после заражения одной системы Outlaw сканирует локальную сеть в поисках новых жертв и автоматически заражает их. Это делает его похожим на червя, способного быстро захватывать целые сети.

Исследователи развернули honeypot-систему, чтобы изучить поведение злоумышленников. Наблюдения показали, что атаки включают как автоматизированные сценарии, так и ручное вмешательство операторов, которые вводят команды напрямую, иногда допуская ошибки. Это подтверждает, что за Outlaw стоят реальные люди, а не полностью автономные скрипты.

Для защиты от Outlaw эксперты рекомендуют: усилить политики паролей, отключить SSH-доступ по паролю в пользу ключей, регулярно обновлять системы и мониторить подозрительную активность, такую как неожиданные cron-задачи или изменения в файлах SSH. Также полезно использовать SIEM-решения для выявления аномалий, например, множественных неудачных попыток входа или необычных исходящих соединений.

Outlaw - наглядный пример того, как даже простые методы атаки могут оставаться эффективными, если системы недостаточно защищены. Внимание к базовой гигиене безопасности и своевременное обнаружение угроз помогут минимизировать риски.

IPv4

• 104.194.151.101
• 104.237.145.240
• 104.254.92.82
• 109.172.88.16
• 128.140.88.0
• 134.209.42.7
• 135.181.139.72
• 137.110.133.146
• 138.197.212.204
• 138.201.127.36
• 138.68.140.83
• 146.190.154.178
• 149.202.87.176
• 150.128.97.41
• 151.80.60.214
• 152.32.202.213
• 157.230.127.232
• 157.245.129.95
• 159.203.59.241
• 159.223.105.130
• 161.35.180.46
• 161.35.198.197
• 161.35.212.32
• 161.35.212.49
• 161.35.231.77
• 161.35.72.143
• 161.97.155.235
• 162.62.119.8
• 167.172.213.233
• 171.22.31.23
• 178.128.19.209
• 179.43.139.83
• 179.43.139.84
• 179.43.139.85
• 179.43.139.86
• 179.43.180.82
• 179.43.180.83
• 185.140.12.250
• 185.165.169.188
• 185.196.8.139
• 185.196.9.59
• 185.217.131.229
• 185.247.224.154
• 185.31.200.33
• 188.165.194.59
• 188.68.222.164
• 192.227.87.87
• 193.86.16.40
• 194.195.87.185
• 195.3.223.76
• 198.199.109.204
• 207.244.252.98
• 208.109.214.175
• 208.109.39.41
• 212.234.225.29
• 212.83.142.161
• 213.165.82.144
• 213.199.46.247
• 216.70.68.24
• 217.160.20.207
• 23.95.88.161
• 23.97.216.213
• 37.139.10.109
• 37.252.7.2
• 37.27.199.65
• 38.153.121.114
• 45.136.17.53
• 45.175.75.254
• 46.101.121.35
• 5.180.174.50
• 5.189.140.128
• 5.196.88.152
• 5.75.193.141
• 51.161.82.138
• 51.222.157.209
• 51.77.42.80
• 51.79.68.96
• 62.169.20.214
• 67.205.134.224
• 68.183.221.93
• 69.176.201.30
• 80.79.125.90
• 85.190.254.87
• 87.106.232.3
• 91.107.150.117

MD5

• 2a435332ffaa0505a5036f041da5ee03
• 6da1e7b40ce4ddd784abba9594ef4468
• a8af9af2bedfaaba970a181074396206

SHA1

• 140b6539f5134289398c822921c749c4ea259205
• 6f7df5e851cef484a357bb5f8fa45b7bac13dd02
• 72149529830fd0f7fcd294602cdb0bcd3800489b

SHA256

• 4cce28bb4390e1a653b09e9bf03aaf7867f00c3cd94b9d52f4775719112708c9
• 5a0121f8dd9f391762c7f6dd525641000ed64f8a5669f14b67e56b387069d4fe
• 5a3291a81d961053fcb5495973c5aa9755ae4b54a689947914489f7fb4fe7f71
• e13c9eb1aa911b21615c7496f5c0f14e133d96d20e7d7f24e97e8519d50a17d1