Kể từ ít nhất là năm 2020, một tổ chức đe dọa đang hoạt động có trụ sở tại Romania đã tiến hành hoạt động tấn công tiền điện tử chống lại các máy sử dụng hệ điều hành Linux bằng cách sử dụng lực lượng vũ phu SSH dựa trên Golang, theo The Hacker News . Mục tiêu của chiến dịch là lây nhiễm các hệ thống Linux bằng các ứng dụng khai thác Monero.
Các nhà nghiên cứu của Bitdefender đã giải thích vào tuần trước rằng băng nhóm tội phạm mạng sử dụng một chương trình bẻ khóa mật khẩu có tên “Diicot brute” được phân phối thông qua mô hình phần mềm như một dịch vụ, với mỗi tác nhân đe dọa sử dụng các khóa API duy nhất của riêng nó để tạo điều kiện cho các cuộc xâm nhập.
Các nhà nghiên cứu bảo mật kết luận rằng băng nhóm tội phạm mạng chịu trách nhiệm cho ít nhất hai botnet DDoS, chẳng hạn như bot Chernobyl và bot Perl IRC. Cả hai đều sử dụng trọng tải khai thác XMRig được tải xuống từ miền có tên mexalz.us kể từ tháng 2 năm 2021.
Tin tặc Romania sử dụng nhiều cách khác nhau để che giấu các hoạt động tấn công tiền điện tử của họ
Nhóm này cũng được biết là dựa vào một loạt các kỹ thuật ẩn để trượt dưới radar. Với mục đích này, tập lệnh Bash được tạo ra bằng trình biên dịch tập lệnh shell (shc) và Discord đã được sử dụng để báo cáo dữ liệu trở lại kênh nằm dưới sự kiểm soát của nó. Để vượt qua bảo mật, tin tặc sử dụng thông tin liên lạc chỉ huy và kiểm soát.
Discord, với tư cách là một nền tảng lọc dữ liệu, cung cấp một mối đe dọa không thể nhầm lẫn đối với việc lưu trữ một máy chủ Lệnh và Điều khiển. Một ưu điểm khác là nó hỗ trợ việc thành lập các cộng đồng tập trung vào việc mua và bán mã nguồn phần mềm độc hại cũng như các dịch vụ khác cho tội phạm mạng.
Bitdefender cho biết họ đã bắt đầu điều tra vào tháng 5 năm 2021 và kể từ đó, họ có thể xác định cơ sở hạ tầng và bộ công cụ tấn công của đối thủ. Họ nhấn mạnh thêm rằng tin tặc thường theo đuổi SSH yếu. Thông tin đăng nhập yếu mà tin tặc có thể nhanh chóng bạo lực, hoặc mật khẩu và tên người dùng mặc định, là một trong những lỗ hổng bảo mật lớn nhất. Phần khó không phải là thô bạo buộc những thông tin đăng nhập này mà là tìm cách cho phép những kẻ tấn công tiến hành các hoạt động của chúng mà không bị phát hiện.
