Http://ircxx.us.to:53

리눅스 SSH 서버를 대상으로 유포 중인 Tsunami DDoS 악성코드 - ASEC BLOG 관련 IOC 40개 발견

AhnLab의 Security Emergency Response Center(ASEC)는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 공격 캠페인을 확인하였다. 공격자는 Tsunami, ShellBot, XMRig 코인 마이너, Log Cleaner 등 다양한 악성코드를 설치하였다. 공격 사례 분석 결과, DDoS Bot, 코인 마이너 악성코드가 대부분을 차지하고 있으며, 특히 Tsunami는 Mirai, Gafgyt과 함께 꾸준히 유포되고 있는 DDoS Bot 중 하나로 IRC를 이용해 공격자와 통신하는 특징이 있다.

AhnLab의 Security Emergency Response Center(ASEC)가 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 한 공격 캠페인을 확인하였다. 공격자는 Tsunami, ShellBot, XMRig 코인 마이너, Log Cleaner 등 다양한 악성코드를 설치하였고, 이 중 Tsunami는 Mirai, Gafgyt과 함께 꾸준히 유포되고 있는 DDoS Bot 중 하나로 IRC를 이용해 공격자와 통신하는 특징이 있다.

Ahnlab
TSUNAMI DDOS malware that is being distributed to Linux SSH server -ASEC Blog

Ahnlab’s Security Emergency Response Center (ASEC) has confirmed the attack campaign for the recently inappropriate Linux SSH server.The attacker installed a variety of malware, including Tsunami, Shellbot, XMRIG Coin Minor, and Log Cleaner.As a result of the attack case analysis, DDOS BOT and coin minor malware account for most of them, and especially TSUNAMI is one of the DDOS BOTs that are being distributed steadily with Mirai and Gafgyt.

Ahnlab’s Security Emergency Response Center (ASEC) confirmed an attack campaign for the Linux SSH server, which is inappropriate.The attacker has installed a variety of malicious code, including TSUNAMI, Shellbot, XMRIG Coin Minor, and Log Cleaner, and TSUNAMI is one of the DDOS BOTs that are constantly being distributed with Mirai and Gafgyt.
https://asec.ahnlab.com/ko/54076/