一个可能位于罗马尼亚的威胁组织,最早从2020年起就开始活动,该组织一直是一个活跃的加密劫持活动的幕后推手,该活动针对基于Linux的机器,使用以前没有记录的用Golang编写的SSH暴力破解工具。
Bitdefender研究人员在上周发表的一份报告中说,这种被称为 “Diacot brute “的密码破解工具据称是通过软件即服务的模式分发的,每个威胁者都提供自己独特的API密钥,以促进入侵行为。
虽然该活动的目标是通过暴力攻击远程入侵设备来部署Monero挖掘恶意软件,但研究人员将该团伙与至少两个DDoS僵尸网络联系起来,包括一个名为chernobyl的Demonbot变体和一个Perl IRC僵尸,自2021年2月起,XMRig采矿有效载荷托管在一个名为mexalz[.us]的域名上。
这家罗马尼亚网络安全技术公司表示,它在2021年5月开始调查该集团的恶意在线活动,导致随后该对手的攻击基础设施和工具包的发现。
该组织还以依靠一套模糊的技巧而闻名,这些技巧使他们能够在雷达下溜走。为此,Bash脚本是用shell脚本编译器(shc)编译的,攻击链被发现利用Discord将信息报告给他们控制的渠道,这种技术在恶意行为者中已经变得越来越普遍,用于指挥和控制通信并逃避安全。
使用Discord作为数据渗出平台也免除了威胁行为者托管自己的命令和控制服务器的需要,更不用说为创建以买卖恶意软件源代码和服务为中心的社区提供支持。
研究人员说:”黑客追求薄弱的SSH凭证并不罕见。在安全方面最大的问题是默认的用户名和密码,或者黑客用暴力手段轻易克服的弱小凭证。棘手的部分不一定是用暴力破解这些凭证,而是以一种让攻击者不被发现的方式进行破解。”
