Outlaw Group: SSH Брутфорс и криптомайнинг на Linux-серверах
Outlaw Group: SSH Брутфорс и криптомайнинг на Linux-серверах
Группировка Outlaw (aka Dota), предположительно из Румынии, активно использует самораспространяющийся ботнет для криптоджекинга, атакуя Linux-серверы со слабыми SSH-кредами.
Основным вектором атаки служит SSH брутфорс. Получив первоначальный доступ, злоумышленники закрепляются в системе, добавляя свой публичный ключ в файл authorized_keys для постоянного доступа. Эта активность наблюдается как минимум с конца 2018 года.
Процесс заражения многоэтапный. Сначала используется дроппер в виде шелл-скрипта (например, tddwrt7s.sh), который скачивает архив (часто dota3.tar.gz). После распаковки архива запускается модифицированный майнер XMRig. Важно отметить, что скрипты также выполняют задачи по зачистке: удаляют следы предыдущих компрометаций и активно убивают процессы как конкурирующих майнеров, так и своих же устаревших версий, обеспечивая монополию на ресурсы хоста.
Для самораспространения используется компонент под названием BLITZ. Он действует подобно червю, сканируя сеть в поисках систем с открытым SSH-портом и пытаясь подобрать к ним пароли методом брутфорса. Списки потенциальных целей для атаки BLITZ получает со своего командного SSH C2 сервера, замыкая цикл распространения ботнета. Персистентность также поддерживается через планировщик cron.
В некоторых случаях для первоначального проникновения эксплуатировались старые, но все еще встречающиеся уязвимости, такие как CVE-2016-5195 (Dirty COW), или использовался подбор слабых паролей к Telnet. После успешного входа на хост разворачивается SHELLBOT для удаленного управления через IRC-канал, используемый в качестве C2. Этот бот предоставляет широкий набор возможностей: выполнение произвольных шелл-команд, загрузку и запуск дополнительных вредоносных модулей, организацию DDoS-атак, кражу учетных данных и эксфильтрацию чувствительной информации с зараженной машины.
Для оптимизации процесса майнинга вредонос определяет тип CPU и активирует hugepages для всех ядер, чтобы повысить эффективность доступа к памяти. Постоянную связь с инфраструктурой злоумышленников обеспечивает бинарный файл, часто маскирующийся под системный процесс, например, kswap01.
Несмотря на применение довольно базовых и известных техник, таких как SSH брутфорс, манипуляции с ключами авторизации и использование cron для персистентности, группировка Outlaw продолжает оставаться активной и представлять реальную угрозу для Linux-инфраструктур. Регулярная проверка стойкости паролей и аудит содержимого файла authorized_keys остаются критически важными мерами защиты. 🧐
Базовые техники, старые уязвимости... А результат есть. Доказывает, что для успеха не всегда нужен zero-day, иногда достаточно ленивого админа. 😁