新的Diicot威胁组使用暴力恶意软件攻击SSH服务器

Diicot与罗马尼亚反恐警察部门共享新名称，并使用相同风格的信息和图像。Diicot，以前称为Mexals，是一个相对较新的威胁组织，拥有广泛的技术知识和广泛的目标。

Cado Labs的研究人员报告说，一个名为Diicot的新兴罗马尼亚威胁演员正在利用独特的TTP（战术、技术和程序）和一种有趣的攻击模式来瞄准受害者。

研究人员指出，该组织一直在使用暴力恶意软件，其有效载荷既未公开报告也未出现在公共存储库中。

Diicot，以前称为Mexals，是一个相对较新的威胁组织，拥有广泛的技术知识和广泛的目标。Diicot与罗马尼亚反恐警察部门共享新名称，并使用相同风格的信息和图像。

Akamai和Bitdefender之前的研究表明，Diicot自2020年以来一直活跃，主要进行加密劫持活动或为恶意软件即服务( MaaS)创建恶意软件。

根据Cado Labs的研究，在其新活动中，Diicot部署了Cayosin僵尸网络，而其主要目标之一是启用密码身份验证的暴露于互联网的SSH服务器。有趣的是，他们的用户名和密码列表非常严格，仅包括默认或易于猜测的凭据。

Diicot严重依赖Shell脚本编译器来使加载程序脚本难以分析。此外，他们使用带有字节序列 0x59545399 的修改后的标头，使用自定义版本的UPX打包有效载荷。

UPX标头会阻止通过标准命令(upx -d)进行解包，但可以通过Akamai的Larry Cashdollar创建的upx dex实用程序绕过它，并且可以通过检测工具识别序列。

此外，Diicot经常使用Discord建立C2，因为它支持对webhook URL的HTTP POST请求。该组织在链接中包含Snowflake时间戳，允许数据泄露并查看给定频道内的活动统计数据和创建日期。

在他们的博客文章中，Cado研究人员透露，他们确定了Diicot在此次活动中使用的四个不同渠道。将现成的基于Mirai的僵尸网络代理Cayosin部署到运行基于Linux的操作系统OpenWRT的路由器是一种新采用的策略，表明该组织在检查其目标后改变了其攻击方式。

一般来说，Diicot集团的活动有一个很长的执行链，其中有效载荷和输出共享相互依存的关系。Shc可执行文件充当加载程序，通过自定义XMRig版本准备系统以进行挖掘。

初始访问是通过一个名为“别名”的基于Golang的自定义64位SSH暴力破解工具实现的。它会摄取IP地址和凭证对的列表，以作为进行攻击的目标。如果“别名”遇到OpenWrt路由器，则会启动名为“bins.sh”的Mirai风格的传播脚本来检索Cayosin僵尸网络代理的二进制文件（多个32位ELF二进制文件）。

SHC还通过将密码更改为硬编码值并在系统具有四个以上处理器内核且用户ID等于0（root）时安装XMRig来运行用于加密货币挖掘的shell脚本。如果用户不是root，则payload通过date命令、sha256sum和base64生成密码。

结果的前8个字符用作密码。Diicor在执行矿工后注册其SSH密钥以维持系统访问，并创建一个简单的脚本以在矿工停止运行时重新启动矿工。用户必须实施SSH强化，例如SSH实例的基于密钥的身份验证和防火墙规则，以限制他们对IP的访问。

另一方面，Akamai的研究人员声称Diicot仍在探索部署它的方法，现在也可以进行DDoS攻击。在检查Diicot的服务器时，还发现了一个罗马尼亚语的doxxing视频，显示Diicot与敌对黑客组织成员拥有的该组织的在线角色之间的争执。

在该视频中，提到了这些成员的个人详细信息，包括照片、全名、在线句柄和家庭住址。

“由此可以得出结论，除了上述邪恶活动外，该组织还积极参与对公众进行人肉搜索。”

原文始发于微信公众号（郑州网络安全）：新的Diicot威胁组使用暴力恶意软件攻击SSH服务器