Según investigadores de seguridad de Cado Labs, un grupo de ciberdelincuentes que se hace llamar Diicot está llevando a cabo ataques masivos de fuerza bruta y desplegando una variante de la botnet Mirai IoT en puntos finales comprometidos. La banda cibernética también implementa una carga útil de minería de criptomonedas en servidores con una CPU de más de cuatro núcleos. “Aunque Diicot se asocia tradicionalmente con campañas de criptojacking, Cado Labs descubierto evidencia del despliegue por parte del grupo de un agente de botnet basado en Mirai llamado Cayosin”, dijeron los investigadores de Cado Security. en un análisis de la reciente y actual campaña de ataques del grupo. "La implementación de este agente se dirigió a enrutadores que utilizan el sistema operativo OpenWrt basado en Linux y destinado a dispositivos integrados".

Diicot existe desde al menos 2021 y anteriormente se llamaba Mexals. Los investigadores tienen fuertes razones para creer que el grupo tiene su sede en Rumania después de investigar cadenas encontradas en sus cargas útiles de malware, scripts y mensajes contra grupos de piratas informáticos rivales. Incluso su nuevo nombre imita el acrónimo de la Dirección de Investigación del Crimen Organizado y el Terrorismo (DIICOT), una agencia rumana encargada de hacer cumplir la ley que, como parte de su mandato de combatir el crimen organizado, también investiga el cibercrimen e inicia procesamientos.

Índice
  1. Campañas maliciosas a largo plazo
  2. Una serie de herramientas maliciosas hechas a medida
  3. Herramientas que no se limitan al criptojacking

Campañas maliciosas a largo plazo

En campañas anteriores, documentadas por primera vez por la empresa de antivirus Bitdefender en 2021, el grupo se centró principalmente en el cryptojacking, una práctica de desviar potencia informática para minar criptomonedas. El grupo solía apuntar a servidores Linux con credenciales SSH débiles mediante escaneos masivos centralizados y personalizados y scripts de fuerza bruta que probaban diferentes combinaciones de nombres de usuario y contraseñas. Si un servidor se veía comprometido con éxito, el grupo implementaba una versión personalizada del software de código abierto XMRig para extraer Monero.

Las campañas maliciosas continuaron, pero a principios de este año, los investigadores de Akamai notaron el cambio de nombre del grupo y la diversificación de su conjunto de herramientas de ataque, con la adición de un gusano SSH escrito en Golang y el despliegue de una variante de Mirai llamada Cayosin. Mirai es una botnet autopropagante diseñada para infectar dispositivos de red integrados. Surgió en 2016 y fue responsable de algunos de los ataques DDoS más grandes vistos en ese momento. Luego, el código fuente de la botnet se publicó en línea, lo que permitió a los ciberdelincuentes desarrollar muchas otras variantes mejoradas basadas en él.

Una serie de herramientas maliciosas hechas a medida

La campaña de ataque investigada por Cado Security utiliza muchas de las tácticas documentadas por Bitdefender y Akamai y parece haber comenzado en abril de 2023, cuando se creó el servidor Discord utilizado para comando y control. El ataque comienza con la herramienta de fuerza bruta SSH Golang que el grupo llama alias. Esto toma una lista de direcciones IP de destino y pares de nombre de usuario/contraseña, luego intenta forzar la autenticación. Si el sistema comprometido ejecuta OpenWRT, un sistema operativo de código abierto basado en Linux para dispositivos de red como enrutadores, los atacantes implementarán un script llamado bins.sh que es responsable de determinar la arquitectura de la CPU del dispositivo y de la implementación de un binario Cayosin compilado. para esta arquitectura bajo el nombre de cutie. Si el sistema no usa OpenWRT, Alias ​​implementa una de varias cargas útiles binarias de Linux creadas usando una herramienta de código abierto llamada compilador de scripts de shell (SHC) y empaquetada con UPX. Todas estas cargas útiles sirven como cargadores de malware y preparan el sistema para la implementación de la variante XMRig.

Una de las cargas útiles de SHC ejecuta un script bash que verifica si el sistema tiene cuatro núcleos de CPU antes de implementar XMRig. El script también cambia la contraseña del usuario con el que se ejecuta. Si el usuario es root, la contraseña se establece en un valor codificado, pero si no, se genera dinámicamente a partir de la fecha actual. La carga útil también incorpora otro ejecutable SHC llamado .diicot que agrega una clave SSH controlada por el atacante al usuario actual para garantizar el acceso futuro y garantizar que el servicio SSH se esté ejecutando y registrado como servicio. Luego, el script descarga la variante personalizada de XMRig y la guarda como Opera junto con su archivo de configuración. También crea un script cron para verificar y reiniciar el proceso de Opera si no se está ejecutando. La herramienta de carga útil recupera otra “actualización” ejecutable de SHC que instala la herramienta de fuerza bruta alias en el sistema y una copia del escáner de red Zmap con el nombre “chrome”. El ejecutable de actualización también transmite un script de shell llamado "historial" que ejecuta la actualización y luego crea un script cron que garantiza que el historial y los ejecutables de Chrome se estén ejecutando en el sistema.

Herramientas que no se limitan al criptojacking

El escáner Zmap Chrome se ejecuta en un bloque de red generado por la herramienta de actualización y guarda los resultados en un archivo llamado bios.txt. Luego, los alias de este archivo utilizan los objetivos para realizar ataques SSH de fuerza bruta con una lista de nombres de usuario y contraseñas que también genera la herramienta de actualización. "El uso de Cayosin demuestra la voluntad de Diicot de llevar a cabo una variedad de ataques (no sólo cryptojacking) dependiendo del tipo de objetivos que encuentren", dijeron los investigadores de Cado. “Este hallazgo es consistente con la investigación de Akamai, lo que sugiere que el grupo continúa invirtiendo esfuerzos de ingeniería en la implementación de Cayosin. Al hacerlo, Diicot obtuvo la capacidad de llevar a cabo ataques DDoS, ya que, según informes anteriores, este es el objetivo principal de Cayosin”.

Frente a estas amenazas, las empresas deben asegurarse de implementar un refuerzo de las conexiones SSH de sus servidores. Esto significa usar autenticación de clave en lugar de autenticación de contraseña y usar reglas de firewall para restringir el acceso SSH solo a direcciones IP confiables. Según los investigadores, detectar un escaneo Diicot desde un sistema debería ser sencillo a nivel de red, porque es bastante ruidoso.