طريقة العمل

• يتم نشر الروبوتات من خلال شن هجمات القوة الغاشمة على منافذ SSH المكشوفة (23 و 2323).
• يقوم الجهاز بعد ذلك بتنزيل أحد الثنائيات السبعة التي تقوم بتثبيت برنامج HEH الضار والذي يمكن تنفيذه أيضًا على بنيات وحدة المعالجة المركزية x86 (32/64) و ARM (32/64) و MIPS (MIPS32/MIPS-III) و PPC.
• تسمح وظيفتها الرئيسية للمهاجمين بتشغيل أوامر Shell على الجهاز المخترق. هذا يضمن بقاء الأجهزة مصابة ويتحكم فيها لتنفيذ هجمات SSH بالقوة الغاشمة عبر الإنترنت لتضخيم شدة هجوم الروبوتات.
• هناك ميزة أخرى تسمح لها بمسح البيانات، ولكنها لا تملك القدرة على شن هجمات DDoS أو تثبيت برامج تعدين العملات المشفرة أو التعليمات البرمجية لتشغيل الوكلاء وترحيل حركة المرور للجهات الفاعلة في مجال التهديد.

التأثير

التأثير الفني

• الوصول غير المصرح به إلى وظائف نظام الملفات ونظام التشغيل.
• يتم فقدان سرية البيانات كأوامر نصية لحذف البيانات.

تأثير الأعمال

• يؤدي المساس بمعلومات المستخدمين إلى فقدان الثقة والسمعة.
• إذا لم يكن استرداد البيانات ممكنًا، فقد يؤدي ذلك إلى خسارة مالية.

التخفيف

• المراقبة المنتظمة للسجلات.
• التحقق من الامتيازات والأذونات المخصصة للمستخدمين.
• استخدام جدران الحماية لتصفية حركة المرور.
• تأمين المنافذ بكلمات مرور معقدة.
• استخدام برامج مكافحة الفيروسات.

مؤشرات التسوية (IOCs)

شا-1

• eff1ce72eddc9 دي 694901 f410a873a9d1ed21339
• 6fa68865f1a2dd1cf22f1eb583517c05b6f6c3

MD5

• 43 دي 9 سي 5 اف بي 4 سي دي 59 بي 3 اي بي 07a81 ea8715
• 6 درجة مئوية 815 ساعة 9 درجة فهرنهايت 17 درجة فهرنهايت 552 درجة مئوية 8 درجة حرارة 25749 درجة فهرنهايت 313
• 984 قدم 7 قدم 7 قدم 7 عمق 9 قدم 20246 عرض 580 عرض 15 قدم 93 درجة مئوية 7
• 4c345 fdea97a71 ac235f2f9 ddb19f05
• 6be1590ac9e87d7fe19257213a2db32
• bd07315639da232 e6b4f796231 def8a
• حقيبة c1b2a59f1f1592d9713 a9840 c34
• c2c26a7b2a5412 c9545 a46e1b9b37b0e
• 66786509c16e3285c5e9632ab9019bc7

شا-256

• d302749a080 dd73e25673560857495 ba14f382857 f64d26138 acb044e2d9242
• 4 فبراير 895 أ 2785 ص 9788 ج ج 8 ج 8 ج 4 ج 4 ب 04 أ 24 ب 62e0962b1f8 a28 دي سي 1206 ج 52327 ب 7916

اسم الملف

• wpqnbw [.] txt

النطاقات

• قطة بومف [.]