แก๊งอาชญากรไซเบอร์ Diicot กำลังเพิ่มขีดความสามารถในการโจมตี

309/66 (IT) ประจำวันอังคารที่ 20 มิถุนายน 2566

นักวิจัยของ Cado ได้ตรวจพบรูปแบบการโจมตีที่น่าสนใจ ซึ่งเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ที่ชื่อ Diicot (เดิมชื่อ “Mexals”) โดยค้นพบเพย์โหลดหลายรายการ ซึ่งบางส่วนไม่เป็นที่รู้จัก ซึ่งกำลังถูกใช้เป็นส่วนหนึ่งของแคมเปญใหม่ที่กำลังดำเนินอยู่ และหลักฐานที่รวบรวมโดย Cado ได้แสดงให้เห็นถึงการใช้งานบอตเน็ตที่มีความสามารถในการโจมตี DDoS

กลุ่มอาชญากรไซเบอร์ Diicot มักจะมีความเกี่ยวข้องกับการโจมตี cryptojacking แต่นักวิจัยสังเกตเห็นว่ากลุ่มดังกล่าวใช้บอทที่ใช้ Mirai ซึ่งเป็นที่รู้จักในชื่อ Cayosin บอท Cayosin ที่ใช้ในการโจมตีจากเราเตอร์เป้าหมายที่รันระบบปฏิบัติการ OpenWrt ของอุปกรณ์ฝังตัวบน Linux และกลุ่มนี้มี TTP ที่โดดเด่น เช่น การใช้งาน Shell Script Compiler (shc) และ UPX packer เวอร์ชันที่กำหนดเอง (โดยใช้ส่วนหัวที่แก้ไขด้วยไบต์ 0x59545399) เพื่อป้องกันการแตกไฟล์ผ่านคำสั่งมาตรฐาน (“ upx -dc ” )

โดยจากรายงานของ cado อธิบายว่า “Diicot เป็นกลุ่มภัยคุกคามที่เกิดขึ้นใหม่ โดยมีวัตถุประสงค์ที่หลากหลายและมีความรู้ด้านเทคนิค การดำเนินการกับพวกเขาในแคมเปญนี้พุ่งเป้าหมายไปที่เซิร์ฟเวอร์ SSH โดยเปิดใช้งานการพิสูจน์ตัวตนด้วยรหัสผ่านโดยเฉพาะ รายการชื่อผู้ใช้/รหัสผ่านที่พวกเขาใช้นั้นค่อนข้างจำกัด และรวมถึงคู่ข้อมูลประจำตัวที่เป็นค่าเริ่มต้นและเดาได้ง่าย”  ผู้ใช้งานจึงควรทำ hardening SSH เพื่อป้องกันมัลแวร์ตระกูลนี้ รวมถึงการรับรองความถูกต้องตามคีย์ที่จำเป็นสำหรับอินสแตนซ์ SSH และการใช้กฎไฟร์วอลล์เพื่อจำกัดการเข้าถึง SSH ของ IP ที่เฉพาะ

แหล่งข่าว ( https://securityaffairs.com/147581/cyber-crime/diicot-gang-attack-capabilities.html )