ルーマニアを拠点とする暗号ジャックグループブルートフォースLinuxパスワード

暗号ジャックに焦点を当て、ルーマニア国外で活動していると考えられているハッカーの一団が、まったく新しいブルートフォースパスワードハッキングツールを使用して、Linuxベースのシステムを攻撃しています。このグループのツールはDiicotBruteと呼ばれ、セキュリティ研究者がこれまでに遭遇したことはありません。

Diicot Bruteツールは、Linuxマシン上で脆弱で、構築が不十分なパスワードを解読しようとするSSHパスワードブルートフォーサーです。ハッカーが侵入すると、Monero暗号通貨で動作するクリプトマイナーを展開します。

クリプトジャッキングの実践は特に新しいものではありません。ハッカーは、暗号通貨に焦点を当てた悪意のあるツールを使用して、何年もの間違法な利益を得てきました。クリプトジャッキングとは、悪意のある攻撃者が悪意のあるクリプトマイニングツールを被害者のマシンに密かに展開し、被害者のハードウェアとリソースを使用して、ハッカーの財布に入る通貨をマイニングすることを指します。

もちろん、他人のハードウェアを使用する方が、専用の暗号通貨ファームを設定して法外な電気代を支払うよりもはるかに安価であるため、進取の気性のあるハッカーは、被害者のコンピューターを使用して簡単なお金を常に探しています。

研究者によると、Diicot Bruteツールは、温床を検出して回避する能力があると主張しています。そのような温床試験環境の1つだけで捕らえられたという事実から判断すると、Diicotにはまだやるべきことがいくつかあることを示しているようです。

暗号マルウェアのルーマニアへの接続は、そのインターフェースから来ています-Diicot Bruteには、一部がルーマニア語、一部が英語で表示されるインターフェースがあります。

ハッカーはまた、情報を報告するためにDiscordを使用します。これはますます一般的な出来事であり、過去数か月の間に他のいくつかのマルウェアキャンペーンがDiscordのインフラストラクチャを使用して違法行為を支援しています。

マルウェアの仕組みは、最初にポートスキャンを使用してSSHサーバーをスニッフィングします。次は、有効なクレデンシャルが見つかるまで実行される実際のブルートフォースステップです。最後に、マルウェアはSSHを使用して解読された資格情報を使用して接続し、暗号化ペイロードを展開します。

ルーマニアのハッカーに関するセキュリティレポートからの落胆的な結論は、彼らのツールが機能する理由は単に「人」であるということです。 Linuxコミュニティは、セキュリティに関しては強迫神経症の振る舞いで有名ですが、同様のブルートフォースキットが機能することを可能にする弱いパスワードがまだたくさんあることは明らかです。