03/04/25
Исследователи кибербезопасности из Elastic Security Labs предупредили о возросшей активности криптоджекерской группировки Outlaw, также известной под названием Dota, пишет Securitylab. В основе атак лежит брутфорс слабых учётных данных, после чего вредонос внедряется в систему, запускает майнер и продолжает своё распространение в автоматическом режиме.
Группировка действует с конца 2018 года и, как предполагается, базируется в Румынии. Outlaw занимается систематическим перебором паролей SSH-доступа, а после получения контроля добавляет собственные SSH-ключи в файл «authorized_keys», обеспечивая постоянный доступ к системе.
В случае успешного проникновения начинается многоступенчатая инфекция, где используется скрипт-загрузчик «tddwrt7s.sh», скачивающий архив «dota3.tar.gz». Этот архив распаковывается и запускает процесс майнинга, попутно удаляя следы предыдущих заражений и устраняя конкурирующие майнеры, включая собственные устаревшие версии.
Значимым компонентом в структуре вредоноса стал модуль BLITZ, отвечающий за самораспространение. Он анализирует сеть в поисках открытых SSH-сервисов и использует отдельный командный сервер для получения списка целей. Таким образом создаётся своего рода ботнет, способный расширяться практически бесконечно.
Помимо брутфорса SSH, некоторые версии Outlaw используют уязвимости в Linux и Unix-системах, а также пытаются проникнуть через Telnet слабо защищённых устройств. После получения доступа вредонос разворачивает компонент SHELLBOT — IRC-клиент, обеспечивающий удалённое управление, выполнение произвольных команд, загрузку дополнительных полезных нагрузок, кражу данных и проведение DDoS-атак.
SHELLBOT выполняет функции классического бэкдора и обеспечивает связь с управляющим сервером через IRC-канал. Он позволяет злоумышленникам полностью контролировать заражённое устройство, запускать новые вредоносные модули и эксплуатировать ресурсы для добычи криптовалюты.
Чтобы повысить эффективность майнинга, программа определяет характеристики процессора и включает режим hugepages для всех ядер, что увеличивает производительность за счёт оптимизированного доступа к памяти. Также применяется двоичный файл с именем kswap01, отвечающий за устойчивую связь с сервером операторов и сохранение контроля.
