Diicot mở rộng chiến dịch tấn công bằng DDoS

- Các nhà nghiên cứu bảo mật đã phát hiện một số payload chưa từng được ghi nhận trước đây liên quan đến một đối tượng tấn công tên là Diicot, có nguồn gốc từ Romania, điều này đã dự báo khả năng thực hiện cuộc tấn công từ chối dịch vụ (DDoS).

Diicot (hay còn được biết đến với tên là Mexals) lần đầu được phát hiện vào tháng 7 năm 2021, với khả năng sử dụng công cụ Brute Force SSH dựa trên Go với tên gọi Diicot Brute, nhằm mục đích xâm nhập vào các máy Linux trong một chiến dịch Cryptojacking (một biện pháp tấn công đào tiển ảo trái phép trên máy nạn nhân).

Vào tháng 4 năm nay, các nhà nghiên cứu đã công bố sự trở lại của chiến dịch này và được cho là bắt đầu từ tháng 10 năm 2022, mang lại cho đối tượng tấn công khoản lợi nhuận trái phép trị giá 10.000 USD.

Đối tượng tấn công đã sử dụng một chuỗi payload trước khi cài đặt vào công cụ đào tiền ảo Monero. Các khả năng mới bao gồm: việc sử dụng module worm SSH, tăng cường cơ chế báo động, che giấu payload hiệu quả hơn và một module phân tán trong mạng LAN mới.

Phân tích mới nhất cho thấy nhóm tấn công đang triển khai một botnet có sẵn có tên là Cayosin, một nhóm mã độc có các đặc điểm chung với Qbot và Mirai. Việc phát triển botnet là một biểu hiện cho thấy đối tượng tấn công đã có khả năng thực hiện các cuộc tấn công DDoS.

Ngoài ra, đối tượng cũng thực hiện các hành vi khác như Doxxing các nhóm tấn công đối thủ và sự phụ thuộc của những nhóm đó vào Discord để ra lệnh và kiểm soát, đồng thời thực hiện việc đánh cắp dữ liệu.

Đối tượng tấn công đang tận dụng tiện ích Brute Force SSH để tạo điều kiện cho việc cài đặt thêm các mã độc như biến thể của Mirai hoặc công cụ đào tiền ảo.

Một số công cụ khác được sử dụng bởi Diicot bao gồm:

• Chrome: Một bộ quét Internet dựa trên Zmap có khả năng ghi lại kết quả của quá trình quét vào file

bios.txt.

• Update: Một file thực thi có nhiệm vụ tải và chạy các công cụ như SSH Brute Force và Chrome, nếu

chúng chưa tồn tại trong hệ thống của nạn nhân.

• History: Một script shell có nhiệm vụ chạy Update.

Công cụ Brute Force SSH phân tích tệp văn bản được tạo bởi Chrome để xâm nhập vào các địa chỉ IP đã xác định. Nếu thành công, nó sẽ thiết lập kết nối từ xa tới địa chỉ IP đó. Sau đó, một chuỗi lệnh sẽ được thực thi để tạo ra một hồ sơ cho máy bị nhiễm mã độc, sử dụng máy đó để đào tiền ảo hoặc biến nó thành một điểm phân phát mã độc nếu CPU của máy bị nhiễm có ít hơn bốn lõi.

Để ngăn chặn cuộc tấn công này, các cơ quan và tổ chức nên triển khai các quy tắc tường lửa và củng cố hệ thống SSH để hạn chế quyền truy cập SSH và các địa chỉ IP cụ thể.