Notícias de dispositivos móveis, gadgets, aplicativos Android

XorDDoS infecta dispositivos Linux e os usa para realizar ataques DDoS

Foi descoberta uma nova campanha que usa o Trojan XorDDoS, que afeta sistemas e dispositivos Linux, transformando-os em zumbis que podem ser controlados remotamente por agentes de ameaças.

Além disso, esses sistemas comprometidos podem posteriormente ser usados ​​para ataques DDoS (Distributed Denial-of-Service).

Comparando esta campanha atual com a campanha realizada em 2022, foi encontrada apenas uma alteração, que foi a configuração dos hosts C2.

No entanto, os domínios de ataque permaneceram inalterados. Os atores da ameaça parecem ter migrado sua infraestrutura ofensiva para hosts executados em serviços de hospedagem públicos legítimos.

Além disso, no que diz respeito à campanha de 2022, muitos fornecedores de segurança já classificaram os domínios C2 como maliciosos e os barraram, mas ainda assim o atual tráfego de malware ativo está sendo direcionado para novos IPs.

Documento

Como parte do vetor de acesso inicial, os agentes da ameaça procuraram hosts com serviço HTTP, vulneráveis ​​a ataques de passagem de diretório que podem permitir o acesso a arquivos arbitrários no servidor.

Os atores da ameaça direcionaram especificamente o arquivo /etc/passwd para ler senhas. No entanto, como o arquivo contém apenas senhas criptografadas, eles foram forçados a obter acesso inicial por meio de ataques de força bruta SSH. Assim que obtiveram acesso, eles baixaram malware de servidores remotos e assumiram a propriedade do sistema.

XorDDoS infecta dispositivos Linux

O Trojan XorDDoS usa uma chave de criptografia XOR (BB2FA36AAA9541F0) para criptografar todos os dados relacionados à execução que são então descriptografados usando uma função de descriptografia. Depois que o malware é ativado na máquina da vítima, ele recupera informações essenciais, como /var/run/gcc.pid, versão do sistema operacional, versão do malware, status da memória e informações da CPU.

Nós recomendamos:  Como usar a pesquisa avançada do LinkedIn para encontrar leads B2B

O malware também usou a função decrypt_remotestr() para descriptografar os domínios C2 incorporados no executável. Os pontos finais C2 são,

  • ppp.gggatat456[.]com:53
  • ppp.xxxatat456[.]com:53
  • p5.dddgata789[.]com:53
  • P5.lpjulidny7[.]com:53

Persistência

Como forma de persistência, o malware cria tarefas de execução automática agendadas, que serão executadas a cada três minutos, juntamente com um serviço de execução automática configurado durante a inicialização.

A evasão de detecção é obtida transformando seu processo em um serviço de segundo plano que pode se disfarçar como um processo legítimo.

Infraestrutura de Rede C2

Uma lista de domínios C2 que foram registrados e usados ​​pelos atores da ameaça é a seguinte:

Domínios C2 Nome do servidor Subdomínios C2 Endereços IP Sistema autônomo
xxxatat456[.]com serviços de nomes[.]com aaa.xxxatat456[.]comb12.xxxatat456[.]comppp.xxxatat456[.]comwww.ppp.xxxatat456[.]comwww.xxxatat456[.]com 142.0.138[.]41142.0.138[.]42142.0.138[.]43142.0.138[.]44142.4.106[.]73142.4.106[.]75192.74.236[.]33192.74.236[.]34192.74.236[.]35 54600
gggatat456[.]com serviços de nomes[.]com aaa.gggatat456[.]comppp.gggatat456[.]comwww1.gggatat456[.]com www.ppp.gggatat456[.]com 142.0.138[.]41142.0.138[.]42142.0.138[.]43142.4.106[.]73142.4.106[.]74142.4.106[.]75142.4.106[.]76192.74.236[.]33192.74.236[.]34192.74.236[.]35192.74.236[.]36 54600
lpjulidny7[.]com controle de domínio[.]com p0.lpjulidny7[.]comp2.lpjulidny7[.]comp3.lpjulidny7[.]comp4.lpjulidny7[.]comp5.lpjulidny7[.]com 34.98.99[.]30 396982
dddgata789[.]com controle de domínio[.]com ddd.dddgata789[.]comp5.dddgata789[.]com N / D N / D

Fonte: Unidade Palo Alto42

Além disso, um relatório abrangente sobre esta nova campanha e o trojan foi publicado pela Unit42 de Palo Alto, que fornece informações detalhadas sobre a campanha, análise de código, técnicas de ofuscação e outras informações.

Indicadores de Compromissos (IOCs)

Binários XorDDoS

  • b8c4d68755d09e9ad47e0fa14737b3d2d5ad1246de5ef1b3c794b1339d8fe9f8
  • 265a38c6dee58f912ff82a4e7ce3a32b2a3216bffd8c971a7414432c5f66ef11
  • 1e823ae1e8d2689f1090b09dc15dc1953fa0d3f703aec682214750b9ef8795f1
  • 989a371948b2c50b1d45dac9b3375cbbf832623b30e41d2e04d13d2bcf76e56b
  • 20f202d4a42096588c6a498ddb1e92f5b7531cb108fca45498ac7cd9d46b6448
  • 9c5fc75a453276dcd479601d13593420fc53c80ad6bd911aaeb57d8da693da43
  • ce0268e14b9095e186d5d4fe0b3d7ced0c1cc5bd9c4823b3dfa89853ba83c94f
  • aeb29dc28699b899a89c990eab32c7697679f764f9f33de7d2e2dc28ea8300f5