Η Diicot μοιράζεται τη νέα της ονομασία με τη ρουμανική μονάδα αντιτρομοκρατικής αστυνόμευσης και χρησιμοποιεί το ίδιο στυλ μηνυμάτων και εικόνων.
Ερευνητές από την Cado Labs ανέφεραν ότι ένας αναδυόμενος απειλητικός παράγοντας που ονομάζεται Diicot χρησιμοποιεί μοναδικά TTP (τακτικές, τεχνικές και διαδικασίες) και ένα ενδιαφέρον μοτίβο επίθεσης για να στοχεύσει θύματα.
Οι ερευνητές σημείωσαν ότι η ομάδα χρησιμοποιούσε brute-force malware του οποίου τα ωφέλιμα φορτία δεν είχαν αναφερθεί δημοσίως ούτε εμφανίζονταν σε κοινά αποθετήρια.
Δείτε επίσης: Κλοπή credentials: Τι είναι και πώς να προστατευτείτε;
Σχετικά με τον απειλητικό παράγοντα Diicot
Ο απειλητικός παράγοντας Diicot, παλαιότερα γνωστός ως Mexals, είναι μια σχετικά νέα ομάδα που διαθέτει εκτεταμένες τεχνικές γνώσεις και έχει ένα ευρύ φάσμα στόχων. Η ομάδα Diicot μοιράζεται το νέο της όνομα με τη ρουμανική αντιτρομοκρατική αστυνομική μονάδα και χρησιμοποιεί το ίδιο στυλ ανταλλαγής μηνυμάτων και εικόνων.
Προηγούμενη έρευνα των Akamai και Bitdefender αποκαλύπτει ότι η ομάδα Diicot είναι ενεργή από το 2020, πραγματοποιώντας κυρίως εκστρατείες κρυπτοκατοχής ή δημιουργώντας κακόβουλο λογισμικό για malware-as-a-service (MaaS).
Σύμφωνα με έρευνα της Cado Labs, η Diicot έχει αναπτύξει το botnet Cayosin στη νέα της εκστρατεία. Ένας από τους κύριους στόχους τους είναι οι εκτεθειμένοι στο διαδίκτυο διακομιστές SSH με ενεργοποιημένο τον έλεγχο ταυτότητας με κωδικό πρόσβασης. Είναι ενδιαφέρον ότι η λίστα με τα ονόματα χρήστη και τους κωδικούς πρόσβασης περιορίζεται μόνο σε προεπιλεγμένα ή εύκολα μαντεύσιμα credentials.
Δείτε επίσης: Rhysida ransomware: Διέρρευσε δεδομένα του Χιλιανού Στρατού
Εξετάζοντας τα μοναδικά TTP της Diicot
Η Diicot βασίζεται σε μεγάλο βαθμό στον μεταγλωττιστή Shell Script για να κάνει τα loader scripts δύσκολα στην ανάλυση. Επιπλέον, συσκευάζουν ωφέλιμα φορτία με μια προσαρμοσμένη έκδοση του UPX, χρησιμοποιώντας ένα τροποποιημένο header με την ακολουθία byte 0x59545399.
Ένα UPX header εμποδίζει την αποσυσκευασία μέσω της τυπικής εντολής (upx -d), ωστόσο μπορεί να παρακαμφθεί με τη χρήση του βοηθητικού προγράμματος upx dex που δημιουργήθηκε από τον Larry Cashdollar της Akamai και η ακολουθία μπορεί να εντοπιστεί από εργαλεία ανίχνευσης.
Επιπλέον, η Diicot χρησιμοποιεί συχνά το Discord για να δημιουργήσει το C2 επειδή υποστηρίζει αιτήματα HTTP POST σε μια διεύθυνση URL webhook. Η ομάδα περιλαμβάνει χρονικές σημάνσεις Snowflake στους συνδέσμους, επιτρέποντας την εξαγωγή δεδομένων και την προβολή στατιστικών στοιχείων καμπάνιας και ημερομηνιών δημιουργίας σε ένα δεδομένο κανάλι.
Στην ανάρτησή τους, οι ερευνητές της Cado αποκάλυψαν ότι εντόπισαν τέσσερα διαφορετικά κανάλια που χρησιμοποίησε η Diicot σε αυτή την εκστρατεία. Η ανάπτυξη του botnet Cayosin, ενός off-the-shelf botnet agent που βασίζεται στο Mirai για να στοχεύει δρομολογητές που εκτελούν το λειτουργικό σύστημα OpenWRT που βασίζεται στο Linux, είναι μια νέα τακτική που υιοθετήθηκε, υποδεικνύοντας ότι η ομάδα αλλάζει το στυλ της επίθεσης μετά την εξέταση των στόχων της.
Ανάλυση payload
Γενικά, οι καμπάνιες της ομάδας Diicot έχουν μια μακρά αλυσίδα εκτέλεσης στην οποία τα ωφέλιμα φορτία και τα αποτελέσματα μοιράζονται μια αλληλοεξαρτώμενη σχέση. Τα εκτελέσιμα Shc λειτουργούν ως φορτωτές που προετοιμάζουν το σύστημα για εξόρυξη μέσω μιας προσαρμοσμένης έκδοσης XMRig.
Η αρχική πρόσβαση επιτυγχάνεται με ένα προσαρμοσμένο, βασισμένο σε 64-bit Golang εργαλείο SSH brute-forcing που ονομάζεται “aliases”. Λαμβάνει μια λίστα με διευθύνσεις IP και ζεύγη διαπιστευτηρίων που θα αποτελέσουν στόχο για την επίθεση. Εάν το “aliases” συναντήσει έναν OpenWrt router, τότε ένα spreader script τύπου Mirai με όνομα “bins.sh” εκκινείται για να αποκτήσει τα binaries του agent του botnet Cayosin (πολλαπλά δυαδικά αρχεία ELF 32-bit).
Το SHC εκτελεί και ένα shell script για εξόρυξη κρυπτονομισμάτων αλλάζοντας τον κωδικό πρόσβασης σε μια hardcoded τιμή και εγκαθιστώντας το XMRig εάν το σύστημα διαθέτει περισσότερους από τέσσερις πυρήνες επεξεργαστή και το αναγνωριστικό χρήστη είναι ίσο με 0 (root). Εάν ο χρήστης δεν είναι root, τότε το ωφέλιμο φορτίο παράγει έναν κωδικό πρόσβασης μέσω της εντολής date, sha256sum και base64.
Οι πρώτοι οκτώ χαρακτήρες του αποτελέσματος χρησιμοποιούνται ως κωδικός πρόσβασης. Η Diicor καταχωρίζει το κλειδί SSH μετά την εκτέλεση του miner για να διατηρήσει την πρόσβαση στο σύστημα και δημιουργεί ένα απλό σενάριο για την επανεκκίνηση του miner εάν σταματήσει να εκτελείται. Οι χρήστες πρέπει να εφαρμόσουν σκλήρυνση SSH, όπως έλεγχο ταυτότητας με βάση το κλειδί για τις περιπτώσεις SSH και κανόνες τείχους προστασίας, για να περιορίσουν την πρόσβασή τους σε IP.
Δείτε επίσης: Οι πελάτες του MOVEit Transfer προειδοποιήθηκαν για νέο ελάττωμα
Doxxing
Από την άλλη πλευρά, οι ερευνητές της Akamai υποστηρίζουν ότι η Diicot εξακολουθεί να διερευνά τρόπους για την ανάπτυξή της και μπορεί πλέον να διεξάγει και επιθέσεις DDoS. Όταν εξετάστηκαν οι διακομιστές της Diicot, ανακαλύφθηκε και ένα βίντεο doxxing στη ρουμανική γλώσσα, το οποίο έδειχνε μια διαμάχη μεταξύ της Diicot και των διαδικτυακών προσωπικοτήτων της ομάδας που ανήκαν σε μέλη αντίπαλων ομάδων hacking.
Σε αυτό το βίντεο αποκαλύπτονται τα προσωπικά στοιχεία αυτών των μελών, συμπεριλαμβανομένων φωτογραφιών, πλήρων ονομάτων, διαδικτυακών κωδικών και διευθύνσεων κατοικίας.
Πηγή πληροφοριών: hackread.com
