Ebury Botnet
Ботнет за злонамерен софтуер, наречен Ebury, е проникнал в около 400 000 Linux сървъра от 2009 г. насам, като над 100 000 сървъра остават компрометирани към края на 2023 г. Този ботнет е признат от експерти по киберсигурност като една от най-сложните кампании за злонамерен софтуер от страна на сървъра, насочени към финансови печалби.
Актьорите зад Ebury са участвали в различни дейности за монетизиране, като разпространение на спам, пренасочване на уеб трафик и кражба на идентификационни данни. Освен това те участват в кражба на криптовалута чрез атаки Man-in-the-Middle (MitM) и кражба на кредитни карти чрез прихващане на мрежов трафик, техника, обикновено наричана уеб скимиране от страна на сървъра.
Съдържание
Хванаха киберпрестъпници, работещи с ботнет Ebury
Ebury се появи преди повече от десет години по време на операция Windigo, кампания, насочена към компрометиране на Linux сървъри. Тази операция внедри Ebury заедно с други инструменти като Cdorked и Calfbot за пренасочване на уеб трафика и изпращане на спам. През август 2017 г. Максим Сенах, руски гражданин, беше осъден на близо четири години в американски затвор за участието си в разработването и поддържането на ботнет Ebury.
Senakh и неговите сътрудници са използвали ботнет Ebury, за да манипулират интернет трафика за различни схеми за измама с кликвания и спам имейли, според Министерството на правосъдието на САЩ. Това доведе до измамни приходи в размер на милиони долари. Като част от молбата си, Senakh призна, че е подкрепял престъпното начинание, като е създал акаунти при регистратори на домейни, за да разшири ботнет инфраструктурата на Ebury и лично е спечелил от трафика, генериран от нея.
Ebury Botnet заразени устройства чрез множество различни вектори
Разследване разкри множество тактики, използвани от нападателите за разпространение на Ebury, включително кражба на идентификационни данни за SSH, пълнеж на идентификационни данни, проникване в инфраструктурата на хостинг доставчика, използване на уязвимости като недостатък на контролния уеб панел CVE-2021-45467 и провеждане на SSH човек по средата ( MitM) атаки.
Освен това са наблюдавани участници в заплахи, които използват фалшиви или откраднати самоличности, за да прикрият дейността си. Те са компрометирали инфраструктура, използвана от други злонамерени участници, внедрявайки злонамерения софтуер Ebury, за да постигнат целите си и объркват усилията за тяхното проследяване.
Например, нападателите са компрометирали сървъри, отговорни за събирането на данни от Vidar Stealer. Те са използвали откраднати самоличности, придобити чрез Vidar Stealer, за да наемат сървърна инфраструктура и да извършват дейности, умишлено подвеждайки правоприлагащите органи. В друг случай Ebury е използван за пробиване на системата на един от авторите на ботнета Mirai , получаване на кода преди публичното му пускане.
Нападателите са използвали Ebury, за да доставят допълнителни заплашителни товари
Злонамереният софтуер работи като задна врата и крадец на SSH идентификационни данни, позволявайки на нападателите да въведат допълнителни полезни натоварвания като HelimodSteal, HelimodProxy и HelimodRedirect, като по този начин разширяват обхвата си в рамките на компрометирани мрежи. Най-новата идентифицирана версия на Ebury е 1.8.2.
Тези инструменти са насочени към монетизиране на компрометираните сървъри чрез различни средства. Стратегиите за монетизиране включват кражба на информация за кредитна карта, кражба на криптовалута, пренасочване на трафика, разпространение на спам и кражба на идентификационни данни.
HelimodSteal, HelimodRedirect и HelimodProxy функционират като HTTP сървърни модули за прихващане на HTTP POST заявки, пренасочване на HTTP трафик към реклами и прокси трафик за разпространение на спам. Групата също така използва модул на ядрото, наречен KernelRedirect, използвайки кука Netfilter за модифициране на HTTP трафик и активиране на пренасочване. HelimodSteal е специално проектиран да улавя данни за кредитни карти, изпратени до онлайн магазини, като действа като сървърен уеб скимер за извличане на тази чувствителна информация от заразени сървъри.
Нападателите също така използват софтуер за прикриване и разрешаване на злонамерен трафик през защитни стени, заедно със скриптове на Perl, за широкомащабни атаки тип "човек по средата" в центровете за данни на хостинг доставчиците. Те се насочват към ценни активи, за да откраднат криптовалута от портфейли.
