นักวิจัยด้าน Cybersecurity ค้นพบ Payload ที่ไม่เคยถูกพบมาก่อน ซึ่งเกี่ยวข้องกับกลุ่มผู้โจมตีชาวโรมาเนียที่มีชื่อว่า Diicot ซึ่งสามารถนำมาใช้โจมตีในรูปแบบ Distributed Denial-of-Service (DDoS) ได้
นักวิจัยจาก Cado Security ระบุว่า "ชื่อ Diicot มาจากชื่อของหน่วยงานด้านอาชญากรรม และต่อต้านการก่อการร้ายในโรมาเนีย ซึ่งหลักฐานจากการดำเนินงานของกลุ่มนี้ประกอบไปด้วยข้อความ และภาพที่เกี่ยวข้องกับองค์กรดังกล่าว"
Diicot (née Mexals) ถูกพบครั้งแรกโดย Bitdefender ในเดือนกรกฎาคม 2021 ซึ่งผู้โจมตีใช้เครื่องมือ SSH brute-forcer ที่ใช้ภาษา Go โดยเรียกเครื่องมือนี้ว่า Diicot Brute เพื่อเจาะเข้าสู่ host ของ Linux ซึ่งเป็นส่วนหนึ่งของแคมเปญ cryptojacking
ในเดือนเมษายนที่ผ่านมา บริษัท Akamai ระบุว่าเป็นการกลับมาอีกครั้งของแคมเปญการโจมตีในปี 2021 ซึ่งเชื่อว่าเริ่มต้นขึ้นประมาณเดือนตุลาคม 2022 โดยสร้างรายได้ให้กับผู้โจมตีไปแล้วประมาณ 10,000 ดอลลาร์สหรัฐ
Stiv Kupchik นักวิจัยจาก Akamai ระบุว่า "ผู้โจมตีเคยใช้ Payload การโจมตีแบบต่อเนื่องเพื่อติดตั้ง Monero cryptominer ซึ่งความสามารถใหม่ในครั้งนี้ ได้แก่ การใช้ Secure Shell Protocol (SSH) ในรูปแบบ worm module, การปกปิดการทำงานของ Payload ที่ดีขึ้น และ LAN spreader module รูปแบบใหม่"
การวิเคราะห์ล่าสุดจาก Cado Security แสดงให้เห็นว่ากลุ่มผู้โจมตีนี้กำลังใช้งาน Botnet ชนิดที่หาได้ง่าย และพร้อมใช้งานที่ชื่อว่า Cayosin ซึ่งเป็นตระกูลมัลแวร์ที่มีลักษณะคล้ายกับ Qbot และ Mirai
โดยการพัฒนาในรูปแบบนี้เป็นสัญญาณว่ากลุ่มผู้โจมตีจะมีความสามารถในการโจมตีแบบ DDoS ได้ด้วย ซึ่งพฤติกรรมอื่น ๆ ที่กลุ่มนี้ดำเนินการได้ รวมถึงการเปิดเผยข้อมูลส่วนตัวของกลุ่ม Hacker คู่แข่ง และการใช้แอปพลิเคชัน Discord เพื่อรับส่งคำสั่ง และขโมยข้อมูลจากเครื่องของเหยื่อ
แคมเปญการโจมตีใหม่นี้มุ่งเป้าหมายที่เป็น Router ที่ใช้ระบบปฏิบัติการ Linux-based สำหรับ embedded devices ด้วยโอเพนซอร์ซอย่าง OpenWrt ซึ่งการนำ Cayosin มาใช้ แสดงให้เห็นถึงความตั้งใจของ Diicot ที่จะทำการโจมตีด้วยรูปแบบที่หลากหลาย (ไม่ใช่แค่ cryptojacking) ขึ้นอยู่กับประเภทของเป้าหมายที่พวกเขาพบ
โดยขั้นตอนในการโจมตีของ Diicot ยังคงสอดคล้องกับรูปแบบเดิม โดยมักใช้เครื่องมือ SSH brute-forcing ที่ปรับเเต่งขึ้นมาเองในการเข้าถึงระบบ และแพร่กระจาย malware เพิ่มเติม เช่น Mirai variant และ crypto miner
เครื่องมืออื่น ๆ ที่ใช้โดยผู้โจมตีมีดังนี้
Chrome - เป็นเครื่องมือสแกนจากอินเทอร์เน็ตที่ใช้เทคโนโลยี Zmap ซึ่งสามารถเขียนผลลัพธ์ของการทำงานลงในไฟล์ข้อความ ("bios.