Diicot kampány
A Cado Security kutatói egy érdekes támadási mintát fedeztek fel, amely egy romániai fenyegetési szereplőnek, a Diicotnak (korábban Mexals) tulajdonítható. A Diicot névválasztás meglehetősen furcsa, mivel ez a romániai szervezett bűnözés és terrorizmus elleni rendészeti egység neve is.
A Diicot-ot a Bitdefender dokumentálta először 2021 júliusában, felfedve, hogy a színész egy Go-alapú SSH brute-forcer eszközt, a Diicot Brute-t használta Linux eszközök feltörésére egy titkosítási kampány részeként. Idén április elején Akamai jelezte a Diicot ismételt megjelenését.
A Cado Security legfrissebb elemzése azt mutatja, hogy a csoport egy kész botnet-ügynököt is telepít, a Cayosin néven , egy rosszindulatú programcsaládot, amely megegyezik a Qbottal és a Mirai-val .
A kampány kifejezetten az internetnek kitett SSH-szervereket célozza meg, amelyekben engedélyezett a jelszó-hitelesítés. Az általuk használt felhasználónév/jelszó lista viszonylag korlátozott, és alapértelmezett és könnyen kitalálható hitelesítő adatpárokat tartalmaz.
A kutatók megosztották az azonosításhoz szükséges mutatókat is.