ELF binaries on consumer-grade gateway routers - pnscan 2
概要
An AirRouter received an SSH connection from 220.246.111.206 which placed 4 binaries in /tmp/.xs/
There are 4 binaries, one each for MIPS, MIPSEL, ARM, and i686 copied to the device, suggesting automated backdooring bots.
The attack would periodically re-infect the device.
Work done on these ELFs by MMD and Unixfreaxjp : http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3975&p=26827#p26827
These may be related to Dyreza C2 system.
Created: 2026-02-23
Indicators
Indicatorsは見つかっていない。
類似Pulses
このPulseに関連する脅威アクター (事実ベース)
Score: 7.28
Matched TTPs:
- T1099 - Timestomp
- T1218.009 - Regsvcs/Regasm
MITREへのリンク →
Score: 6.03
Matched TTPs:
- T1099 - Timestomp
- T1090 - Proxy
MITREへのリンク →
Score: 5.58
Matched TTPs:
- T1099 - Timestomp
- T1686.002 - Network Device Firewall
MITREへのリンク →
Score: 4.13
Matched TTPs:
- T1130 - Install Root Certificate
MITREへのリンク →
Score: 4.13
Matched TTPs:
- T1130 - Install Root Certificate
MITREへのリンク →
Score: 3.62
Matched TTPs:
- T1216 - System Script Proxy Execution
MITREへのリンク →
Score: 3.62
Matched TTPs:
- T1216 - System Script Proxy Execution
MITREへのリンク →
Score: 3.62
Matched TTPs:
- T1216 - System Script Proxy Execution
MITREへのリンク →
Score: 3.62
Matched TTPs:
- T1216 - System Script Proxy Execution
MITREへのリンク →
このPulseに関連する脅威アクター (推論ベース)
Score: 0.80
Matched TTPs:
- T1218.009 - Regsvcs/Regasm
- T1099 - Timestomp
MITREへのリンク →
Score: 0.67
Matched TTPs:
- T1090 - Proxy
- T1099 - Timestomp
MITREへのリンク →
Score: 0.59
Matched TTPs:
- T1686.002 - Network Device Firewall
- T1099 - Timestomp
MITREへのリンク →
Related CVEs
このPulseに見つかったCVEはありません。
Pulse – 脅威アクター グラフ
← Pulse一覧に戻る
Trusted Design