TTL OSINT

12.06.2024 123 2 мин.

Сеть облигаций с использованием ботов-майнеров в качестве C2

Было обнаружено, что злоумышленник Bond net, ранее известный тем, что использовал XMRig-майнер, нацеленный на SQL-серверы, активно использует высокопроизводительных ботов в качестве серверов C2 с 2023 года. Они настраивают обратную среду RDP для этих ботов, используя определенные условия и модифицированную прокси-программу с открытым исходным кодом под названием FRP. Затем исполнитель получает доступ к целевой системе по протоколу RDP и запускает две программы: клиент туннелирования Cloudflare и программу HTTP-файлового сервера (HFS). Программа HFS предоставляет услуги файлового сервера на порт TCP 4000, и ее поведение аналогично работе в среде C2, используемой субъектом угроз. Субъект пытается подключить службу к своему домену Cloudflare с помощью туннелирования для использования в качестве C2. Однако им не удалось преобразовать уязвимую систему в C2, и месяц спустя они изменили пользовательский интерфейс C2, указав на свое намерение использовать ботнет-систему в качестве C2.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://asec.ahnlab.com/en/66662/

Выборочные показатели Compromise:

• e919edc79708666cd3822f469f1c3714
• dc8a0d509e84b92fbf7e794fbbe6625b
• d.mymst.top
• 223.223.188.19
• 6121393a37c3178e7c82d1906ea16fd4

Источник: TTL OSINT