Главная страница » IOC
0
6 месяцев
IOC

Skidmap Trojan IOCs

security

Вирусные аналитики компании «Доктор Веб» обнаружили новую модификацию руткита, которая устанавливает на взломанные Linux-машины троян для майнинга Skidmap. Этот руткит маскирует деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности. Атака направлена в первую очередь на крупные серверы и облачные среды в корпоративном секторе, где эффективность майнинга максимальна.

Skidmap Trojan

Система управления базами данных Redis широко используется такими компаниями, как X (бывший Twitter), AirBnB и Amazon. Хотя Redis обладает множеством преимуществ, включая высокую производительность и минимальные требования к ресурсам, у нее есть и недостатки. Конфигурация по умолчанию поддерживает только базовые функции безопасности, а в старых версиях отсутствуют механизмы контроля доступа и шифрования. Кроме того, об уязвимостях Redis регулярно сообщается в СМИ. Вирусные аналитики компании «Доктор Веб» запустили сервер Redis с отключенной защитой, чтобы наблюдать за компрометацией сервера и установкой программ для майнинга. В течение года сервер подвергался от 10 000 до 14 000 атак в месяц, а недавно было обнаружено вредоносное ПО Skidmap, а также установка четырех бэкдоров.

Троян-минер Skidmap известен с 2019 года и часто встречается в корпоративных сетях. Для проникновения в системы он использует уязвимости или неправильные настройки программного обеспечения. В случае с сервером-приманкой, используемым «Доктор Веб», злоумышленники добавили в планировщик cron задачи, которые загружали дроппер Linux.MulDrop.142 каждые 10 минут. Этот дроппер отключает модуль безопасности SELinux, распаковывает руткит Linux.Rootkit.400, устанавливает майнер Linux.BtcMine.815 и добавляет множество бэкдоров. Дроппер уникален тем, что содержит исполняемые файлы для различных дистрибутивов Linux, в частности Debian и Red Hat Enterprise Linux. После установки руткит перехватывает системные вызовы и выдает фальшивую информацию в ответ на диагностические команды, скрывая деятельность майнера.

Бэкдоры, установленные дроппером, сохраняют и отправляют данные об SSH-авторизации и создают мастер-пароль для всех учетных записей в системе. Пароли шифруются четырехбуквенным шифром Caesar со смещением. Чтобы получить контроль над взломанной системой, злоумышленники устанавливают RAT-троян Linux.BackDoor.RCTL.2, который позволяет им отправлять команды и получать данные с сервера через зашифрованное соединение. В качестве майнера используется программа xmrig, способная добывать различные криптовалюты, наиболее популярной из которых является Monero благодаря своей анонимности в даркнете. Обнаружить майнер, покрытый руткитом, в кластере серверов довольно сложно, поскольку руткит скрывает потребление ресурсов. Присутствие руткита в кластере серверов может свидетельствовать о компрометации.

Indicators of Compromise

Domains

  • c443.softgoldinformation.com
  • c443.softprojectcode.com
  • c80.softgoldinformation.com
  • c80.softprojectcode.com
  • m7.softgoldinformation.com
  • m7.softprojectcode.com
  • m80.softgoldinformation.com
  • m80.softprojectcode.com
  • tls1.softgoldinformation.com
  • tls1.softprojectcode.com
  • tls2.softgoldinformation.com
  • tls2.softprojectcode.com
  • tls8990.softgoldinformation.com
  • tls8990.softprojectcode.com

SHA1

  • 030dbc854bb9bdce25e96881b15c812659d71fed
  • 03ebfbf83a7f9c01fa496dec22fbfad1465587d3
  • 084657ee9a939d00f4a0d82f45692008699329e1
  • 14f483fd7eb792ec2ebe0c8459896db143985669
  • 16aaca24bce66f4f19d80e729801d343047dee9c
  • 1889c26c75aed993b0f2dfd78306c7095b69364d
  • 205952f7d3bab21a77e583451b788bbda0227ce1
  • 24f5377a8b0f5dff1c7f0f058b7c76bccfc109c0
  • 2db920cfe65ddfb73bc08735671991248a56273e
  • 3de0a2f76f95375c1c078a465683415bda99f01b
  • 57e992c3562d0d7d5954f9b6eb7e464eb5aa732d
  • 7d4c1910d8bf94c95b18c5131b3df969119d33a6
  • 936616f99c2d4b9986a8d35514531bab7697faad
  • c53748e9f9803ff4eaa99e4c1ef73b5a9fac7a94
  • cfacfea656aac991d2df35af4df593c6abec9059
  • d375abefbc8bca16c5a901f6f4d831a152b886c2
  • e456a26028cffc3de502df0af75255fe3a558776
  • e622265120fd9b05a27f24b69a75d852186eaac2
  • f4a8fa193a9abaa7575445fdae7c80393dcf38d4

SHA256

  • 0da1fa467f1db4cea0e591a2ab369f49ab2a41f074da85da37919951c28ae574
  • 94f4eee7f986699699cd38eba68bf8adda1037eafbd0590c0d9b77b3133d0bfa
  • d75fd66a622fd5846642840f00194ed77ed7d2ba54ebdcd78ecb9700edc9ddab
  • ee78829b7057233643abc5fd685b46d3ef040a0347bb4569ac252984760eea2f
Комментарии: 0
Похожие записи
0
8 часов
IOC

Mamont Trojan IOCs - Part 2

remote access Trojan
Недавно СМИ сообщили об аресте подозреваемых в распространении вредоносного приложения для Android, известного как Mamont. Это приложение использовалось в фишинговой кампании, в ходе которой пользователи
0
11 дней
IOC

Crocodilus: Новое вредоносное ПО для захвата устройств, нацеленное на Android-устройства

Banking Trojan
Crocodilus - это новый и высокоэффективный мобильный банковский троян, который обнаружен компанией ThreatFabric. В отличие от других существующих троянов, Crocodilus обладает современными методами, включая
1
14 дней
IOC

Обзор вирусной активности на мобильных устройствах за 1 квартал 2025 года

security
Исследователи компании «Доктор Веб» выявили множество новых угроз в Google Play Store за последние три месяца. Помимо многочисленных троянцев Android.FakeApp, они обнаружили вредоносное ПО, предназначенное
0
2 месяца
IOC

StaryDobry Trojan IOCs

remote access Trojan
31 декабря киберпреступники начали массовую атаку, используя падение бдительности пользователей и увеличение трафика на торрент-сайтах в праздничный сезон. Эта атака продолжалась месяц и затронула физических