
En välkänd cyberkriminell grupp vid namn Outlaw, även kallad Dota, har intensifierat sina attacker mot Linux-servrar i en global kampanj. Gruppen utnyttjar svaga eller standardinställda SSH-lösenord för att få åtkomst till servrar, där de installerar skadlig kod och använder systemen för kryptovalutabrytning.
Attackerna har bekräftats i flera länder, inklusive USA, Tyskland, Italien, Brasilien, Kanada, Thailand och Taiwan.
Utnyttjar svaga SSH-lösenord
Gruppens huvudsakliga metod är att logga in via SSH på Linux-servrar där lösenorden är svaga eller aldrig ändrats från standardinställningarna. Särskilt utsatta är administrativa konton som “suporte”, som ofta förekommer i färdigkonfigurerade miljöer.
Efter inloggning läggs en obehörig SSH-nyckel till för användaren “mdrfckr”, vilket ger angriparen permanent åtkomst till systemet utan att behöva lösenord igen.
Installation av botnät
När åtkomst väl erhållits installeras ett Perl-skript som laddar ner och packar upp ett arkiv med namnet dota.tar.gz. Denna kod placeras i en dold katalog med namnet .configrc5, där körbara filer som init0 och b/run återfinns.
Den skadliga programvaran är avsiktligt förvirrad (obfuskerad) för att undvika upptäckt och har mekanismer för att överleva omstarter. Kommunikation sker via IRC, vilket möjliggör fjärrstyrning av systemet för bland annat DDoS-attacker, vidare spridning, samt nedladdning av fler skadliga filer.
Kryptovalutabrytning med XMRig
En av de främsta målsättningarna med attackerna är att använda servrarnas resurser till att bryta Monero (XMR), en anonym kryptovaluta. Angriparna använder en modifierad version av brytprogrammet XMRig, maskerad som systemprocessen kswapd0. Detta gör att programmet kan arbeta i bakgrunden utan att väcka misstankar.
Resultatet är ofta kraftig prestandapåverkan. Många systemadministratörer märker inte attacken förrän systemet blivit långsamt eller instabilt.
Skyddsåtgärder
För att minska risken för denna typ av intrång bör Linux-administratörer vidta följande åtgärder:
- Inaktivera lösenordsbaserad SSH-inloggning och använd nyckelbaserad autentisering.
- Begränsa SSH-åtkomst till specifika IP-adresser och överväg att använda en icke-standardport.
- Övervaka systemresurser för ovanligt hög CPU-användning eller okända processer.
- Installera säkerhetsuppdateringar regelbundet för både operativsystem och kärna.
Sammanfattning
Outlaws angrepp visar tydligt att även Linux-servrar, som ofta anses vara säkrare än andra system, är sårbara om de inte konfigureras och övervakas korrekt. Genom att utnyttja bristande säkerhet kan angriparna obemärkt använda servrar som verktyg för ekonomisk vinning och vidare attacker.
En säker servermiljö kräver goda rutiner, proaktivt säkerhetsarbete och kontinuerlig bevakning. Utan detta är risken stor att infrastrukturen kapas – och används av kriminella aktörer likt Outlaw.
Källa till artikel :
https://securelist.com/outlaw-botnet/116444/