🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Categoria: Inteligência do adversário
Indústria: Múltiplo
Motivação: Monetário
País: Global
Fonte*:
R: Confiável
1: Confirmado por fontes independentes
Sumário executivo
- A equipe de inteligência de ameaças da CloudSEK descobriu uma campanha, ativa nos últimos 1,8 anos, que ataca e força bruta o SSH.
- A amostra mais recente desta campanha foi criada em 29 de março de 2023, com o IP HxxP: //141 [.] 98 [.] 6 [.] 76 [:] 6972/HOZE.
- Também descobrimos várias conexões desse script malicioso com vários mineradores de moedas e um endereço de e-mail para posterior atribuição.
Análise e atribuição
O IP: 141 [.] 98 [.] 6 [.] 76
O IP já estava marcado como malicioso, pois tentou realizar ataques SSH usando o método de força bruta. Ao investigar esse IP, descobriu-se que ele estava se comunicando com 'Hoze', que é um script de shell de ataque malicioso. Hoze solicita o seguinte URL: http://141.98.6.76:6972/xrx.tar.
O arquivo TAR é um arquivo que pode ser baixado e contém um ou mais executáveis do Linux. Eles são conhecidos popularmente como scripts de mineração de acompanhamento para desinstalar software de segurança e habilitar permissões executáveis.
Análise do conteúdo do arquivo
O config.json, que é essencialmente um arquivo de configuração de minerador, expõe informações confidenciais contendo campos de dados como URL, moeda, usuário, senha etc., com sites diferentes marcados como maliciosos para tags de mineração de moedas.
O nome de usuário (4bdcc1fbz26hazppyhkczqe95akourdm6emnwbpfwbqjhglexazspqym8pym2jt8jjrnt5vjkhau1b1mmccjt9vjhag2qrl) é um endereço Monero que revela o histórico de pagamentos que remonta a 676 dias, aproximadamente em torno de 1,8 anos.
Foram descobertos vários pools de mineração associados à mesma carteira:
45/10,20. 100:2008
185,252,178. 82:2008
pool.whitesnake.church: 2008
pool.supportxmr.com:443
141,98,6. 76:2008
A chave SSH pública
Havia uma chave SSH pública no arquivo hospedado na URL acima. Essa chave também foi observada no relatório da AhnLabs para o CoinMiner, que visa servidores SSH Linux mal configurados, rastreando essa campanha até 2022.
Seguindo as informações obtidas da AhnLabs devido ao uso da mesma chave SSH na última campanha, observamos um endereço de e-mail presente nas informações de mineração XMRig do agente da ameaça.
Piscina de mineração: xmr.doi-2020 [.] net: 14444
Carteira: 85myxajxqm1i9rld1b7xq4jddqutt1fd9ikynnfwgtzph42cm5psrmqw9r7sue28ts86bwrkiw3mv8k4zrgamw6zvlllbmq.worker01/[email protected]
Com base nas informações obtidas de uma violação de dados em que o e-mail acima foi comprometido, ele pertence a Marian Andrei. No entanto, a autenticidade dos dados ainda não foi confirmada.
Arquivo xrx/xrx
Verificou-se que certos arquivos presentes no arquivo compactado estavam criptografados para evitar a detecção. Com base em nossa investigação, foi observado um protocolo típico de mineração de estratos, que essencialmente define como as minerações em pool devem se comunicar, tornando as transferências de dados mais eficientes.
Referências
Mitigação
- Implementar uma política de senha SSH forte e evitar configurações incorretas ou configurações padrão.
- Acompanhar de perto as anomalias que indicam tentativas de força bruta por meio de registros de segurança, registros do sistema, registros de erros etc.
- Instalar um software antivírus forte para detectar quaisquer downloads ou executáveis presentes no sistema.
Indicadores de compromisso (IOCs)
