TTL OSINT

Новый инструмент от 8220 Mining Gang: k4spreader

В статье рассматривается новый вредоносный инструмент под названием "k4spreader", используемый майнинговой группой "8220" для установки других вредоносных программ, в основном DDoS-ботнета Tsunami и программы майнинга PwnRig. Инструмент написан в режиме CGI, а его основные функции написаны на go. В нем используется модифицированный upx-пакет для повышения эффективности статического антивирусного обнаружения. Инструмент имеет три версии, причем в версии 3 есть два уровня модифицированного upx-пакета. Утилита изменяет файл конфигурации запуска bash, добавляет системные службы через /etc/init.d и /etc/systemd/system и загружает исполняемые файлы с серверов управления (C2). Она также жестко кодирует вредоносные программы в свои собственные данные для выполнения. В статье также подробно описывается структура файловой таблицы, используемой инструментом.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-en/

Выборочные показатели Compromise:

• http://185.172.128.146/d.py
• 0897b1d3e3e453c160bf8d28a041eee3bd29e43a6f063faed7d3cb83a86b88cc
• a2b34f3cfcf584e90c13580e9e0f8b9306e9f6c9
• pwn.oracleservice.top
• 51.255.171.23

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал