Търсене
Close this search box.

400 000 Linux сървъра са засегнати от ботнета Ebury

Разширяването на ботнета Ebury Linux продължава без прекъсване през последното десетилетие, като в края на 2023 г. са идентифицирани приблизително 100 000 заразени системи, съобщава ESET.

Първоначално разкрит през 2014 г., когато ботнетът наброява 25 000 системи, Ebury оцелява след опит за разбиване и осъждането на Максим Сенах за участието му в операцията.

Представляващ задна врата за OpenSSH и крадец на удостоверения, Ebury е получавал постоянни актуализации и се смята, че от 2009 г. насам е заразил над 400 000 хоста, злоупотребявайки с тях за финансова изгода, показва новият доклад на ESET (PDF).

„Налице е постоянна вълна от нови сървъри, които се компрометират, докато други се почистват или извеждат от експлоатация“, отбелязва ESET, като обяснява, че ботнетът е достигнал своя пик от 110 000 завладени системи през 2023 г., след като е компрометирал голям хостинг доставчик и е заразил около 70 000 сървъра.

Всъщност много от заразените системи са сървъри, отнасящи се до доставчици на хостинг, което е позволило на нападателите да прихванат SSH трафика на интересните цели и да го пренасочат към контролиран от нападателя сървър, за да прихванат идентификационните данни за вход.

„Почти всички компрометирани системи са сървъри, а не крайни потребителски устройства. Сървърите помагат за управлението на интернет, като хостват уеб страници, действат като авторитетни сървъри за имена, извършват финансови транзакции и т.н.“, посочва ESET.

Освен това е забелязано, че операторите на зловредния софтуер се насочват към Tor изходни възли заедно с Bitcoin и Ethereum възли, за да откраднат хостваните на тях портфейли за криптовалута, както и да подслушват мрежовия трафик, за да откраднат данни за кредитни карти.

Според ESET операторите на ботнета са изключително активни, като използват нулеви дни в администраторския софтуер за масово компрометиране на сървъри, насочват се към инфраструктурата на други заплахи, за да крадат данни, ексфилтрирани от техните жертви, и използват нов зловреден софтуер, за да извършват пренасочване на уеб трафика.

Ebury се внедрява в компрометираните системи с привилегии на root, като се използват техники като credential stuffing за компрометиране на хостовете, достъп до хипервайзори за заразяване на всички подсистеми, компрометирани доставчици на хостинг за заразяване на всички наети сървъри и SSH adversary-in-the-middle (AitM).

Операторите на зловредния софтуер са забелязани да използват и бъгове от типа „нулев ден“, като CVE-2021-45467 – проблем с неавтентифицирано включване на файлове в панела за уеб хостинг Control Web Panel (CWP), и CVE-2016-5195 (Dirty COW) – състояние на надпревара в ядрото на Linux, водещо до повишаване на привилегиите.

Между 2009 и 2011 г. Ebury е бил инсталиран на поне четири сървъра, принадлежащи на Linux Foundation, като е предоставил на операторите си достъп до файлове, съдържащи стотици данни за вход.

Освен това операторите на ботнета са използвали скрипт на Perl, за да откриват други крадци на идентификационни данни OpenSSH и да събират информация от тях. Те компрометирали и инфраструктурата, използвана от други крадци, като например сървъри, използвани от Vidar Stealer, и системата на автора на ботнета Mirai.

За устойчивост зловредният софтуер отвлича библиотека, която да се изпълнява при стартиране на клиент или сървър на OpenSSH, или заменя оригиналните двоични файлове на OpenSSH със задни версии. За да скрие присъствието си, Ebury компрометира всички SSH сесии.

Ebury съхранява в паметта информация за състоянието, конфигурацията и събраните пълномощни, а последните версии са наблюдавани да инжектират FrizzySteal в libcurl, за да екфилтрират HTTP POST заявки, направени от приложения, използващи библиотеката, и да се инжектират в шелове, породени при свързване чрез компрометиран OpenSSH сървър.

След като компрометират сървъра, операторите на ботнета се свързват периодично с него, за да екфилтрират събраните идентификационни данни. Те също така са забелязани да използват скриптове за автоматизиране на функции, като например събиране на нови частни ключове SSH и списък на работещите услуги.

Киберпрестъпниците са забелязани да използват и зловреден софтуер като HelimodSteal и HelimodRedirect, за да крадат HTTP заявки или да ги пренасочват.

Неотдавнашната активност на Ebury показва промяна в тактиките за монетизиране, включително кражба на криптовалута и данни от кредитни карти, изпращане на спам и кражба на удостоверения. За тази цел операторите използват специфични модули на Apache, модул на ядрото, инструменти за скриване на трафика през защитната стена и скриптове за осъществяване на AitM атаки.

Според ESET операторите на Ebury са монтирали AitM атаки срещу най-малко 200 цели в 75 автономни системи (AS) в 34 държави, включително достижими Bitcoin и Ethereum възли.

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
03/06/2024

Уязвимост в ядрото на Linux...

В четвъртък американската агенция за киберсигурност...
01/04/2024

Тайна задна врата е открита...

В петък Red Hat публикува „спешно...
30/03/2024

Десетилетна грешка в "стена...

Уязвимостта в командата wall на пакета...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!