Een nieuw botnet het uitvoeren van grootschalige aanvallen is ontdekt door security onderzoekers. Het botnet wordt nagesynchroniseerd DDG en is ooit uitgeroepen tot de op één na grootste mijnbouw botnet. De doelstellingen zijn de Redis en OrientDB servers.
DDG.Mining.Botnet Aanvallen Beschrijving
Een paar maanden geleden NetLab onderzoekers merkten een grootschalige lopende scan die is gericht OrientDB databases. Na een verdere analyse, de onderzoekers ontdekt dat dit “een langlopende botnet”Dat is gericht op de mijnbouw Monero. Netlab noemde het botnet DDG.Mining.Botnet na de kernfunctie module.
Volgens statistieken, het botnet heeft meer dan gedolven 3,395 Monero wat neerkomt op meer dan $920,000, waardoor het de tweede grootste Monero botnet na de MyKings botnet.
Het botnet is actief op zijn minst sinds eind 2016 en werd grondig bijgewerkt in de loop van 2017.
DDG maakt gebruik van een C2 en HUB lay-out om te communiceren met haar klanten. De HUB is een set van IP-adressen en domeinnamen die worden gebruikt om Miner programma voor de gecompromitteerde klanten om te downloaden.
De onderzoekers merken ook op dat ze in staat waren om te registreren en sinkhole twee domeinnamen die werden ingezet door V2011 het botnet's. Dankzij deze activiteit, was het mogelijk voor hen om goed te kijken naar de hele DDG botnet structuur.
DDG Botnet Monero Mijnactiviteiten
Het botnet gebruik https://monero.crypto-pool.fr/ zoals de mijnbouw pool, en drie Monero portemonnees:
- Wallet # 14AxgKJtp8TTN9Ab9JLnvg7BxZ7Hnw4hxigg35LrDVXbKdUxmcsXPEKU3SEUQxeSFV3bo2zCD7AiCzP2kQ6VHouK3KwnTKYg
- Wallet # 245XyPEnJ6c2STDwe8GXYqZTccoHmscoNSDiTisvzzekwDSXyahCUmh19Mh2ewv1XDk3xPj3mN2CoDRjd3vLi1hrz6imWBR1
- Wallet # 344iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu1G7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM
Blijkbaar, het zwembad maakte het mogelijk voor de onderzoekers om de betalingen van de portefeuilles te controleren - een totaal van 3,395 valuta.
DDG botnet gebruikt de volgende externe code fout: CVE-2017-11.467. Door deze exploitatie in de vorm van een brute force, het botnet exploitanten met succes de bovengenoemde servers afbreuk te doen aan. Wat lastig is, is dat de cybercriminelen achter deze operatie zijn gericht op servers met krachtige computing-mogelijkheden.
Als de aanval zelf, volgt dit frame:
- Initial Scanning: Cybercriminelen misbruik van dit bekende RCE kwetsbaarheid van de OrientDB database om de aanval lading neerzetten;
- Stadium 1: Cybercriminelen wijzigt lokale Crontab geplande taken, downloaden en uitvoeren i.sh (hxxp: //218.248.40.228:8443/i.sh) op de primaire server te houden gesynchroniseerd elke 5 notulen;
- Stadium 2: DDG doorkruist de ingebouwde file hub_iplist.txt, Vervolgens controleert zij de connectiviteit van elke single entry en probeert de overeenkomstige Miner programma wnTKYg downloaden;
- Mining Stage: De mijnwerker programma wordt gestart, het gebruik van de IT-middelen van de besmette gastheer voor de mijnbouw voor de cybercriminelen portemonnee beginnen.
Het is sterk aanbevolen voor computergebruikers om hun systeem te scannen op actieve infecties en malware gebruik van een anti-malware programma. Een dergelijk programma dient om vele kwaadaardige acties te voorkomen en te stoppen met verdere verspreiding van malware.
SpyHunter scanner vindt u alleen de dreiging. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: