Главная страница » IOC
0
5 месяцев
IOC

Вредоносные программы для Linux, майнинг криптовалют и злоупотребление API для азартных игр

security

Исследователи из Elastic Security Labs обнаружили сложную кампанию вредоносного ПО для Linux, начавшуюся в марте 2024 года и нацеленную на уязвимые серверы через эксплуатируемый веб-сервер Apache2.


Получив доступ, злоумышленники развернули комплекс вредоносных программ, включая KAIJI и RUDEDEVIL, чтобы установить постоянство и контроль. KAIJI, известный своими DDoS-возможностями, и RUDEDEVIL, майнер криптовалют, использовались для эксплуатации системных ресурсов. Злоумышленники использовали различные инструменты, такие как каналы C2, замаскированные под процессы ядра, боты Telegram для общения и задания cron для выполнения запланированных задач.

Их действия также наводят на мысль о потенциальной схеме майнинга Bitcoin и Monero с использованием API для азартных игр, возможно, для отмывания денег. Лаборатория Elastic Security Labs обнаружила ежедневную загрузку свежих образцов вредоносного ПО KAIJI, что свидетельствует об активном развитии вредоносной программы. Кампания также использовала GSOCKET и Telegram для зашифрованной связи с командно-контрольными серверами. Методы злоумышленников свидетельствуют о продвинутой тактике борьбы с вредоносным ПО и постоянных усилиях по его разработке.

Indicators of Compromise

IPv4

  • 107.178.101.245
  • 3.147.53.183
  • 38.54.125.192
  • 61.160.194.160
  • 62.72.22.91
  • 91.92.241.103

Domains

  • gcp.pagaelrescate.com
  • nishabii.xyz

URLs

  • http://38.54.125.192:8080/nginx-rc
  • http://62.72.22.91/apache2
  • http://62.72.22.91/apache2v86
  • http://91.92.241.103:8002/gk.php
  • http://gcp.pagaelrescate.com:8080/cycnet
  • http://gcp.pagaelrescate.com:8080/ifindyou
  • http://gcp.pagaelrescate.com:8080/t9r/SystemdXC
  • http://gcp.pagaelrescate.com:8080/testslot/enviador_slot
  • http://hfs.t1linux.com:7845/scdsshfk

SHA256

  • 09f935acbac36d224acfb809ad82c475d53d74ab505f057f5ac40611d7c3dbe7
  • 0c3442b8c49844a1ee41705a9e4a710ae3c7cde76c69c2eab733366b2aa34814
  • 0d24a2e7da52bad03b0bda45c8435a29c4e1c9b483e425ae71b79fd122598527
  • 0fede7231267afc03b096ee6c1d3ded479b10ab235e260120bc9f68dd1fc54dd
  • 160f232566968ade54ee875def81fc4ca69e5507faae0fceb5bef6139346496a
  • 1cdfb522acb1ad0745a4b88f072e40bf9aa113b63030fe002728bac50a46ae79
  • 20899c5e2ecd94b9e0a8d1af0114332c408fb65a6eb3837d4afee000b2a0941b
  • 310973f6f186947cb7cff0e7b46b4645acdd71e90104f334caa88a4fa8ad9988
  • 36fc8eef2e1574e00ba3cf9e2267d4d295f6e9f138474e3bd85eb4d215f63196
  • 3847c06f95dd92ec482212116408286986bb4b711e27def446fb4a524611b745
  • 3c25a4406787cc5089e83e00350e49eb9f192d03d69e7a61b780b6828db1344f
  • 47ceca049bfcb894c9a229e7234e8146d8aeda6edd1629bc4822ab826b5b9a40
  • 54a5c82e4c68c399f56f0af6bde9fb797122239f0ebb8bcdb302e7c4fb02e1de
  • 6d40b58e97c7b4c34f7b5bdac88f46e943e25faa887e0e6ce5f2855008e83f55
  • 728dce11ffd7eb35f80553d0b2bc82191fe9ff8f0d0750fcca04d0e77d5be28c
  • 72ac2877c9e4cd7d70673c0643eb16805977a9b8d55b6b2e5a6491db565cee1f
  • 792a84a5bc8530285e2f6eb997054edb3d43460a99a089468e2cf81b5fd5cde6
  • 7c16149db7766c6fd89f28031aa123408228f045e90aa03828c02562d9f9d1d7
  • 82c55c169b6cb5e348be6e202163296b2b5d80fff2be791c21da9a8b84188684
  • 89b60cedc3a4efb02ceaf629d6675ec9541addae4689489f3ab8ec7741ec8055
  • 9e32be17b25d3a6c00ebbfd03114a0947361b4eaf4b0e9d6349cbb95350bf976
  • 9ee695e55907a99f097c4c0ad4eb24ae5cf3f8215e9904d787817f1becb9449e
  • ad36cf59b5eb08799a50e9aece6f12cdfe8620062606ac6684d3b4509acc681b
  • d0ef2f020082556884361914114429ed82611ef8de09d878431745ccd07c06d8
  • d6350d8a664b3585108ee2b6f04f031d478e97a53962786b18e4780a3ca3da60
  • e19fb249db323d2388e91f92ff0c8a7a169caf34c3bdaf4d3544ce6bfb8b88b4
  • e89f4073490e48aa03ec0256d0bfa6cf9c9ac6feb271a23cb6bc571170d1bcb5
  • ea0068702ea65725700b1dad73affe68cf29705c826d12a497dccf92d3cded46
  • fffee23324813743b8660282ccd745daa6fb058f2bf84b9960f70d888cd33ba0
Комментарии: 0
Похожие записи
0
23 дня
IOC

FINALDRAFT RAT IOCs

remote access Trojan
FINALDRAFT - это новый троянец удаленного доступа (RAT), который был обнаружен в конце 2024 года. Исследователями его ассоциируют с группировкой REF7707, изъявившей интерес к правительственным структурам
0
3 месяца
IOC

PUMAKIT Malware IOCs

security
Исследователи из Elastic Security Labs опубликовали отчет о PUMAKIT - продвинутой вредоносной программе с многоступенчатой архитектурой, позволяющей обходить обнаружение и сохранять контроль над зараженными системами.
0
4 месяца
IOC

MaaS-злоумышленники адаптируются к исправленной защите Chrome

Spyware
Компания Elastic Security Labs обнаружила несколько методов, используемых различными семействами вредоносных программ для обхода функции шифрования Google Chrome Application-Bound Encryption, которая была
0
5 месяцев
IOC

GHOSTPULSE Malware IOCs - Part 2

security
Компания Elastic Security обнаружила значительные усовершенствования во вредоносной программе GHOSTPULSE, которая претерпела значительные изменения с момента своего обнаружения в 2023 году.