Cyberthreat.id - Peneliti keamanan dunia maya menemukan muatan yang sebelumnya tidak berdokumen yang terkait dengan aktor ancaman Rumania bernama Diicot, mengungkapkan potensinya untuk meluncurkan serangan denial-of-service (DDoS) terdistribusi.

"Nama Diicot sangat penting, karena itu juga merupakan nama unit kepolisian kejahatan terorganisir dan anti-terorisme Rumania," kata Cado Security dalam laporan teknis sebagaimana dilaporkan The Hacker News. "Selain itu, artefak dari kampanye grup berisi pesan dan citra yang terkait dengan organisasi ini."

Diicot (née Mexals) pertama kali didokumentasikan oleh Bitdefender pada Juli 2021, mengungkap penggunaan alat brute-forcer SSH berbasis Go oleh aktor yang disebut Diicot Brute untuk menembus host Linux sebagai bagian dari kampanye cryptojacking.

Kemudian awal April ini, Akamai mengungkapkan apa yang digambarkannya sebagai "kebangkitan" aktivitas 2021 yang diyakini telah dimulai sekitar Oktober 2022, menjaring aktor tersebut sekitar $10.000 dalam keuntungan ilegal.

"Para penyerang menggunakan rantai muatan yang panjang sebelum akhirnya menjatuhkan cryptominer Monero," kata peneliti Akamai Stiv Kupchik pada saat itu. "Kemampuan baru termasuk penggunaan modul worm Secure Shell Protocol (SSH), peningkatan pelaporan, obfuscation muatan yang lebih baik, dan modul penyebar LAN baru."

Analisis terbaru dari Cado Security menunjukkan bahwa grup tersebut juga menyebarkan botnet siap pakai yang disebut sebagai Cayosin, keluarga malware yang memiliki karakteristik yang sama dengan Qbot dan Mirai.

Perkembangan tersebut merupakan tanda bahwa aktor ancaman kini memiliki kemampuan untuk melancarkan serangan DDoS. Aktivitas lain yang dilakukan oleh grup termasuk doxxing grup peretasan saingan dan ketergantungannya pada Discord untuk perintah-dan-kontrol dan eksfiltrasi data.

"Penyebaran agen ini ditargetkan pada router yang menjalankan sistem operasi perangkat tertanam berbasis Linux, OpenWrt," kata perusahaan keamanan siber itu. “Penggunaan Cayosin menunjukkan kesediaan Diicot untuk melakukan berbagai serangan (bukan hanya cryptojacking) tergantung pada jenis target yang mereka hadapi.”

Rantai kompromi Diicot sebagian besar tetap konsisten, memanfaatkan utilitas brute-forcing SSH khusus untuk mendapatkan pijakan dan menjatuhkan malware tambahan seperti varian Mirai dan penambang crypto.

Beberapa alat lain yang digunakan oleh aktor adalah sebagai berikut:

• Chrome - Pemindai internet berbasis Zmap yang dapat menulis hasil operasi ke file teks ("bios.txt").
• Update - Dapat dieksekusi yang mengambil dan mengeksekusi brute-forcer SSH dan Chrome jika tidak ada di sistem.
• History - Skrip shell yang dirancang untuk menjalankan Pembaruan

Alat SSH brute-forcer, untuk bagiannya, mem-parsing keluaran file teks Chrome untuk membobol setiap alamat IP yang teridentifikasi, dan jika berhasil, membuat koneksi jarak jauh ke alamat IP.

Ini kemudian diikuti dengan menjalankan serangkaian perintah untuk membuat profil host yang terinfeksi dan menggunakannya untuk menyebarkan cryptominer atau membuatnya bertindak sebagai penyebar jika CPU mesin memiliki kurang dari empat inti.

Untuk mengurangi serangan tersebut, organisasi disarankan untuk menerapkan aturan pengerasan SSH dan firewall untuk membatasi akses SSH ke alamat IP tertentu.

"Kampanye ini secara khusus menargetkan server SSH yang terpapar ke internet dengan otentikasi kata sandi diaktifkan," kata Cado Security. "Daftar nama pengguna/kata sandi yang mereka gunakan relatif terbatas dan menyertakan pasangan kredensial default dan mudah ditebak."[]