Новая группировка Diicot расширила свои атаки от криптоджекинга до DDoS-атак

По данным исследователей Cado Security, румынская хакерская группа Diicot, которая ранее занималась криптоджекингом и продажей вредоносного ПО как услуги (Malware-as-a-Service, MaaS), теперь также способна проводить DDoS-атаки на свои цели.

Исследователи обнаружили, что Diicot (ранее известная как Mexals) использует ботнет Cayosin, основанный на Mirai, для заражения маршрутизаторов, работающих под управлением ОС OpenWRT на базе Linux. Ботнет Cayosin имеет несколько модулей для различных видов атак, включая HTTP-флуд, UDP-флуд, SYN-флуд и TCP-флуд.

Группа Diicot также использует Discord для установления связи с сервером управления и контроля (C2) и получения команд для запуска атак. Исследователи смогли получить доступ к одному из каналов Discord, который Diicot использовала для этой кампании, и обнаружили, что группа атаковала несколько сайтов, в том числе сайты правительственных организаций и образовательных учреждений.

Diicot — это относительно новая хакерская группа, название которой совпадает с названием Управления по расследованию организованной преступности и терроризма Румынии (DIICOT). Группа активна с 2020 года и имеет разнообразные цели и тактики.

Diicot применяет вредоносное ПО, которое подбирает пароли к SSH-серверам, и которое не было ранее обнаружено или опубликовано в общедоступных репозиториях. Группа также использует компилятор Shell Script Compiler (Shc) и модифицированную версию упаковщика исполняемых файлов UPX для затруднения анализа своих полезных нагрузок.

Для защиты от атаки пользователям рекомендуется усилить безопасность SSH, внедрив аутентификацию на основе ключей для экземпляров SSH и правила брандмауэра, чтобы ограничить их доступ к IP-адресам. Также необходимо обновлять прошивку маршрутизаторов и использовать сложные пароли для предотвращения заражения ботнетом Cayosin.