AhnLab Security Emergency response Center (ASEC) недавно обнаружил атакующую кампанию, состоящую в установке DDoS-бота Tsunami на недостаточно управляемые Linux SSH-серверы. Угрожающий субъект не только установил Tsunami, но и другие вредоносные программы, такие как ShellBot, XMRig CoinMiner и Log Cleaner.
Если рассматривать случаи атак на плохо управляемые Linux SSH-серверы, то большинство из них связаны с установкой DDoS-ботов или CoinMiners. DDoS-бот уже рассматривался здесь, в блоге ASEC, в случаях атак, когда были установлены ShellBot и ChinaZ DDoS Bot. Установка XMRig CoinMiner освещалась вместе с вредоносным ПО SHC и атакующей кампанией KONO DIO DA.
Tsunami - это DDoS-бот, который также известен как Kaiten. Это один из нескольких штаммов вредоносного ПО, которые последовательно распространяются вместе с Mirai и Gafgyt, когда нацелены на IoT-устройства, которые обычно уязвимы. Несмотря на то, что все они являются DDoS-ботами, Tsunami отличается от других тем, что работает как IRC-бот, используя IRC для связи с угрожающим агентом.
Исходный код Tsunami находится в открытом доступе, поэтому его используют множество угрожающих субъектов. Среди различных вариантов его использования, он чаще всего применяется в атаках на устройства IoT. Конечно, он также постоянно используется для атак на серверы Linux. Кроме того, подобно случаю, когда XMRig CoinMiner распространялся в публичном Docker-контейнере с Tsunami, был подтвержден еще один случай, когда они также распространялись в облачной среде. Кроме того, размещение вредоносного ПО внутри неофициально распространяемых контейнеров Docker является одним из основных векторов атак.
Indicators of Compromise
Domain Port Combinations
- ircx.us.to:20
- ircx.us.to:53
- ircx.us.to:6667
- ircxx.us.to:53
URLs
- ddoser.org/siwen/bot
- ddoser.org/a
- ddoser.org/key
- ddoser.org/logo
- ddoser.org/siwen/clean
- ddoser.org/siwen/cls
- ddoser.org/siwen/ping6
- ddoser.org/top
MD5
- 0014403121eeaebaeede796e4b6e5dbe
- 125951260a0cb473ce9b7acc406e83e1
- 2cd8157ba0171ca5d8b50499f4440d96
- 32eb33cdfa763b012cd8bcad97d560f0
- 421ffee8a223210b2c8f2384ee6a88b4
- 6187ec1eee4b0fb381dd27f30dd352c9
- 725ac5754b123923490c79191fdf4f76
- 822b6f619e642cc76881ae90fb1f8e8e
- 98b8cd5ccd6f7177007976aeb675ec38
- ad04aab3e732ce5220db0b0fc9bc8a19
- c5142b41947f5d1853785020d9350de4
- e2f08f163d81f79c1f94bd34b22d3191