هشدار حملات سرقت رمزارز مبتنی بر لینوکس از کشور رومانی
اخبار داغ فناوری اطلاعات و امنیت شبکهیک گروه تهدید که احتمالاً در رومانی مستقر بوده و حداقل از سال 2020 در این زمینه فعال است، در پشت یک کمپین فعال سرقت رمزارز از طریق هدف قرار دادن دستگاه های مبتنی بر لینوکس با SSH brute-forcer نامعتبری که قبلا توسط آنها در زبان برنامه نویسی Go نوشته شده، قرار دارد.
محققان Bitdefender در گزارشی که هفته گذشته منتشر شد، از آن با عنوان «Diicot brute» نام بردند و گفته اند که ابزار شکستن رمز عبور از طریق یک مدل سرویس نرم افزاری توزیع می شود، و هر عامل تهدید راهکارهای API منحصر به فرد خود را برای تسهیل فرایند نفوذ ارائه می نماید.
در حالی که هدف این فعالیت استفاده از بدافزار ماینینگ Monero و از طریق به خطر انداختن از راه دور دستگاه ها با حملات پرخطر است، محققان این باند خرابکار را با حداقل دو بات نت DDoS از جمله یک نوع Demonbot به نام Chernobyl و یک بات Perl IRC با استخراج و ماینینگ بسته های XMRig که از دسامبر 2021 در دامنه ای به نام mexalz[.]us میزبانی می شود، مرتبط دانسته اند.
شرکت فناوری امنیت سایبری رومانی اعلام کرد که تحقیقات خود را درباره فعالیت های سایبری این گروه در ماه می سال 2021 آغاز کرده که متعاقبا منجر به کشف زیرساخت ها و ابزار چهای حمله مهاجمان شده است.
این گروه همچنین به عنوان گروهی که بر یک سری ترفندهای مبهم تکیه میکند، شناخته شده است که آنها را قادر می سازد تا از دید رادارها پنهان بمانند. به همین منظور، اسکریپت های Bash با یک اسکریپت کامپایلر shell (shc)، کامپایل می شوند. همچنین مشخص شده است که در طی زنجیره حمله، آنها Discord را برای تبادل و گزارش اطلاعات از طریق یک کانال تحت کنترلشان مورد استفاده قرار میدهند. این تکنیک برای ارتباطات command-and-control و فرار از سدهای امنیتی، به طور فزاینده ای در میان عاملان مخرب رواج پیدا کرده است.
با استفاده از Discord به عنوان یک سیستم انتقال اطلاعات، نیاز تهدید کنندگان برای میزبانی از سرور command-and-control خود نیز مرتفع میشود. همچنین همانگونه که مشخص است، امکان ایجاد پشتیبانی برای تشکیل اجتماعات با محوریت خرید و فروش کد منبع بدافزار و خدمات آن نیز وجود دارد.
محققان بیان داشتند: "بسیار رایج و معمول است که هکرها دنبال اعتبارنامه های ضعیف SSH بروند. از جمله بزرگترین مشکلات امنیتی، نام کاربری و گذرواژه های پیش فرض کاربران است؛ و یا اینکه هکرها با اعتبارنامه های ضعیف می توانند به راحتی و با تمام قدرت بر آنها غلبه کنند. بخش حساس این مسئله لزوماً تحمیل بالاجبار این اعتبارنامه ها نیست، بلکه انجام این کار مستلزم روشی است که باعث شود مهاجمان شناسایی نشوند.".
برچسب ها: SEO, Chernobyl, Demonbot, Diicot brute, SSH, Discord, command and control, cybersecurity, رمزارز, malware, DDoS, cryptocurrency, Botnet, بات نت, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری