Outlaw malware
Az Elastic Security Labs elemzése szerint az Outlaw egy Linux rendszereket célzó, tartós jelenlétet biztosító, ám technikailag nem kifinomult kártevő, amely egyszerű brute-force és kriptobányászati módszerekkel épít ki hosszú távú botnet hálózatot.
A támadás során a tddwrt7s.sh nevű szkript letölti a dota3.tar.gz csomagot egy vezérlőszerverről, majd az ebben található initall.sh szkript végrehajtásával elindítja a fertőzési láncot. A kártevő eltávolít más brute-force és bányász szoftvereket, majd telepíti a módosított XMRig bányászprogramot, a STEALTH SHELLBOT-ot távoli vezérléshez IRC-n keresztül, valamint a BLITZ nevű modult SSH brute-force támadások végrehajtására. A BLITZ modul célzott listákat kap egy SSH vezérlőszervertől, és brute-force támadásokkal próbál új rendszereket kompromittálni. A sikeresen fertőzött rendszerek ismétlik ezt a folyamatot, így terjesztve a kártevőt.
A BLITZ felelős az SSH brute-force támadásokért, lehetővé téve a kártevő számára, hogy gyenge jelszavakkal védett rendszereket kompromittáljon és tovább terjedjen.
Az XMRig nyílt forráskódú kriptobányász szoftver módosított változata, amelyet a kártevő a fertőzött rendszerek erőforrásainak kihasználására használ kriptovaluta bányászat céljából.
A STEALTH SHELLBOT az IRC-alapú távoli vezérlő eszköz, amely lehetővé teszi a támadók számára a fertőzött rendszerek irányítását és további parancsok végrehajtását.
Az Outlaw kártevő által alkalmazott technikák széles skálán mozognak, amelyek lefedik a MITRE ATT&CK keretrendszer számos szegmensét. Az Elastic Security Labs részletes detektálási szabályokat és vadászati lekérdezéseket dolgozott ki az Outlaw aktivitásának felismerésére, beleértve az SSH brute-force támadások, a kriptobányász tevékenységek és a rejtett kommunikációs csatornák azonosítását.
