Группировка Outlaw использует ботнет из Linux-серверов для майнинга Monero
08/02/19
Исследовательская группа JASK Special Ops раскрыла подробности атак группировки Outlaw на Linux-серверы с целью майнинга криптовалюты Monero.
В кампании используется усовершенствованная версия трояна Shellbot, который обеспечивает связь между зараженной системой и C&C-сервером злоумышленников.
Бэкдор способен собирать системные и личные данные, завершать или запускать задачи и процессы, загружать дополнительную полезную нагрузку, открывать оболочки удаленной командной строки, отправлять украденную информацию на управляющий сервер, а также получать дополнительные вредоносные программы от операторов.
Впервые бот обнаружили в ноябре 2018 года. По данным Trend Micro, создателем вредоносного инструмента является группировка Outlaw.
Shellbot представляет собой IRC-бот, распространяемый путем эксплуатации уязвимостей внедрения комманд, который способен заражать Linux-серверы и различные IoT-устройства. Бот также может атаковать Windows- и Android-устройства, но такие случаи довольно редки.
В ходе атак в ноябре 2018 года Outlaw удалось скомпрометировать FTP-серверы Японского художественного института и сайта правительства Бангладеш. Специалисты JASK зафиксировали еще одну атаку, к которой, скорее всего, тоже причастна та же группировка. Взлому подверглись несколько Linux-серверов неуказанной компании.
На каждую из этих систем загружалось дополнительное вредоносное ПО, включая IRC-боты, криптомайнер XMR-Stak, а также инструмент "haiduc" для дальнейшего продвижения по сети.
На данный момент майнинг-пул отключен, некоторые свидетельства указывают, что он был размещен на игровом сервере. Как полагают исследователи, злоумышленники создали собственный пул вместо общедоступных.
Злоумышленники атакуют организации с помощью DoS-атак и брутфорса SSH. Скомпрометированные серверы добавляются в состав ботнета Outlaw.