Diicot, en hackerbande, som stammer fra Rumænien, er blevet identificeret som bagmændene bag en række ondsindede aktiviteter, herunder oprettelsen af ​​et DDoS-botnet ved hjælp af en variant af den berygtede Mirai-malware.

Diicot gruppens primære fokus ser ud til at være på at støtte cryptojacking-bestræbelser, har gruppen også brugt botnets og brugt brute-force-taktikker til andre formål. Ifølge forskere har Diicot, den selverklærede cyberkriminelle organisation, været involveret i udbredt SSH brute-force-scanning, mens den samtidig har installeret en modificeret version af Mirai IoT-botnet på kompromitterede enheder. Derudover har gruppen vist sig at indlejre en cryptocurrency mining-nyttelast på servere udstyret med CPU'er indeholdende mere end fire kerner.

Cado Security-forskere fremhævede i en analyse af Diicots seneste og igangværende angrebskampagne gruppens skift i taktik. "Selvom Diicot traditionelt har været forbundet med cryptojacking-kampagner, opdagede Cado Labs beviser på, at gruppen implementerede en fast Mirai-baseret botnet-agent ved navn Cayosin," sagde de. Implementeringen af ​​denne agent var specifikt målrettet mod routere, der kører det Linux-baserede indlejrede enheder-operativsystem, OpenWrt.

Men hvem er Diicot egentlig?

Gruppen opstod i hvert fald allerede i 2021 under navnet Mexals. Efter at have grundigt undersøgt strenge fundet i deres malware-nyttelaster, scripts og beskeder rettet mod rivaliserende hackergrupper, er forskere overbevist om, at Diicot er baseret i Rumænien. Desuden har gruppen med vilje vedtaget et navn, der ligner forkortelsen for Direktoratet for Efterforskning af Organiseret Kriminalitet og Terrorisme (DIICOT), et rumænsk retshåndhævende organ, der er ansvarligt for at bekæmpe cyberkriminalitet sideløbende med dets indsats mod organiseret kriminalitet.

Diicots tidligere kampagner, som oprindeligt blev afsløret af Bitdefender, drejede sig primært om cryptojacking, som involverer kapring af beregningskraft til cryptocurrency-mineformål. Gruppens modus operandi involverede målretning mod sårbare Linux-servere, der havde svage SSH-legitimationsoplysninger. For at opnå dette brugte de brugerdefinerede og centraliserede massescanningsteknikker kombineret med brute-force scripts, der systematisk forsøgte forskellige brugernavn og adgangskodekombinationer. Da en server var blevet kompromitteret med succes, frigav Diicot en tilpasset version af open source XMRig-softwaren for at udvinde kryptovalutaen Monero.

På trods af at de fortsatte med deres kampagner, gennemgik Diicot et navneskifte tidligere på året, og deres angrebsværktøjssæt oplevede diversificering. Forskere fra Akamai rapporterede inklusion af en SSH-orm skrevet i Golang og brugen af ​​en Mirai-variant ved navn Cayosin. Mirai, som opstod i 2016, var et selvreplikerende botnet, der var rettet mod indlejrede netværksenheder og var ansvarlig for nogle af de største DDoS-angreb på det tidspunkt. Frigivelsen af ​​Mirais kildekode banede efterfølgende vejen for cyberkriminelle til at udvikle adskillige forbedrede varianter baseret på dens design.

Cado Security undersøgte for nylig Diicots seneste angrebskampagne, som deler mange ligheder med taktikken, der tidligere er dokumenteret af Bitdefender og Akamai. Kampagnen ser ud til at være startet i april 2023, faldende sammen med oprettelsen af ​​en Discord-server, der er beregnet til kommando-og-kontrol formål.

Hvordan foregår angrebet?

Angrebet begynder med brugen af ​​Golang SSH brute-forcing-værktøjet, kodenavnet "aliaser". Dette værktøj fungerer ved at tage en liste over mål-IP-adresser, samt brugernavn/adgangskode-par, og fortsætter derefter med at starte brute-force-angreb for at opnå godkendelse.

Hvis det kompromitterede system kører OpenWrt, som er et Linux-baseret open source-operativsystem, der almindeligvis bruges til netværksenheder såsom routere, implementerer angriberne et script kaldet "bins.sh." Dette script er ansvarligt for at identificere enhedens CPU-arkitektur og efterfølgende implementere en Cayosin-binær, der er skræddersyet til den specifikke arkitektur. Binæren gemmes under navnet "cutie.<arch>."

Hvis systemet ikke kører OpenWrt, implementerer aliassværktøjet i stedet en af ​​flere binære Linux-nyttelaster, der er oprettet ved hjælp af shell script compiler-værktøjet (SHC), som er yderligere pakket med UPX-komprimering. Hver af disse nyttelaster fungerer som en malware-indlæser, der forbereder systemet til den efterfølgende implementering af en XMRig-variant.

Navnlig er en af ​​SHC-nyttelasterne navngivet "payload" og udfører et bash-script, der verificerer, om systemet besidder mindst fire CPU-kerner, før XMRig implementeres. Derudover ændrer scriptet adgangskoden for den aktuelle bruger under udførelse. I tilfældet med root-brugeren indstilles en hårdkodet adgangskode, hvorimod adgangskoden for andre brugere genereres dynamisk baseret på den aktuelle dato.

Ydermere implementerer nyttelasten en anden SHC-eksekverbar fil ved navn ".diicot", som tilføjer en SSH-nøgle styret af angriberen til den aktuelle bruger, hvilket sikrer fremtidig adgang. Det verificerer også, at SSH-tjenesten er operationel og registreret som en tjeneste. Efter disse trin fortsætter scriptet med at downloade en tilpasset variant af XMRig, og gemmer den under navnet "Opera" sammen med dens tilhørende konfigurationsfil. Der oprettes et cron-script for med jævne mellemrum at verificere eksistensen af ​​Opera-processen og genstarte den, hvis det er nødvendigt.

Ydermere downloader nyttelastværktøjet en anden SHC-eksekverbar fil kaldet "update", som implementerer aliasernes brute-force-værktøj på systemet sammen med en kopi af Zmap-netværksscanneren ved navn "chrome". Den eksekverbare opdatering installerer også et shell-script kaldet "historie", som starter selve opdateringsprocessen, før der oprettes et cron-script for at sikre, at historikken og chrome-eksekverbare filer forbliver aktive på systemet.

Mens de undersøgte Diicots aktiviteter, opdagede Cado-forskerne, at den krom Zmap-scanner scanner en netværksblok genereret af opdateringsværktøjet og gemmer resultaterne i en fil kaldet "bios.txt". Målene i denne fil udnyttes efterfølgende af aliaser til at udføre SSH brute-force-angreb ved at bruge en foruddefineret liste over brugernavne og adgangskoder genereret af opdateringsværktøjet.

"Brugen af ​​Cayosin demonstrerer Diicots vilje til at udføre en række forskellige angreb (ikke kun cryptojacking) afhængigt af den type mål, de støder på," bemærkede Cado-forskerne. "Dette fund er i overensstemmelse med Akamais forskning, hvilket tyder på, at gruppen stadig investerer ingeniørarbejde i at implementere Cayosin. Derved har Diicot opnået evnen til at udføre DDoS-angreb, da dette er det primære formål med Cayosin, som tidligere rapporteret."