Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Botnet SSHStalker

Botnet SSHStalker

El Mezo el Botnets, Amenaça persistent avançada (APT)
Traduir a:

Els analistes de ciberseguretat han descobert una operació de botnet coneguda com a SSHStalker, que aprofita el protocol Internet Relay Chat (IRC) per a les comunicacions de comandament i control (C2). En combinar la mecànica tradicional de la botnet IRC amb tècniques automatitzades de compromís massiu, aquesta campanya reflecteix un enfocament calculat i metòdic per a la infiltració d'infraestructures.

A diferència de les botnets modernes que prioritzen la monetització ràpida, SSHStalker emfatitza la persistència i l'expansió controlada, cosa que indica un objectiu potencialment estratègic en lloc d'un guany financer immediat.

Estratègia d’explotació: atacant els oblidats i els no reparats

Al centre de SSHStalker hi ha un enfocament deliberat en els sistemes Linux antics. El conjunt d'eines incorpora una col·lecció de 16 vulnerabilitats del nucli de Linux, moltes de les quals daten del 2009 i el 2010. Tot i que són en gran part ineficaços contra sistemes contemporanis amb pegats complets, aquests exploits continuen sent viables contra infraestructures obsoletes o descuidades.

Entre les vulnerabilitats destacades aprofitades en la campanya hi ha CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 i CVE-2010-3437. Aquesta confiança en defectes més antics demostra una estratègia pragmàtica: explotar entorns antics de cua llarga que sovint escapen a la supervisió de seguretat moderna.

Expansió similar a la d’un cuc mitjançant l’automatització SSH

SSHStalker integra capacitats d'escaneig automatitzades per ampliar el seu abast. Un escàner basat en Golang sondeja activament el port 22 per identificar sistemes que exposen serveis SSH. Un cop descoberts, els hosts susceptibles es veuen compromesos i inscrits als canals IRC, expandint efectivament la botnet de manera similar a un cuc.

Durant la infecció es despleguen diverses càrregues útils, incloent-hi variants d'un bot controlat per IRC i un bot d'arxius basat en Perl. Aquests components es connecten a un servidor UnrealIRCd, s'uneixen als canals de control designats i esperen instruccions. La infraestructura admet atacs de trànsit coordinats d'estil inundació i la gestió centralitzada de bots.

Malgrat aquestes capacitats, la campanya s'absté notablement de participar en activitats comunes de monetització posteriors a l'explotació, com ara atacs de denegació de servei distribuïts, proxyjacking o mineria de criptomonedes. En canvi, els sistemes compromesos romanen en gran part inactius, mantenint un accés persistent. Aquesta postura operativa restringida suggereix possibles casos d'ús com ara la posada en escena, la retenció d'accés o futures operacions coordinades.

Furt, persistència i antiforense

El sigil·losi operatiu és una característica definidora de SSHStalker. El programari maliciós implementa utilitats de neteja de registres que manipulen els registres utmp, wtmp i lastlog per ocultar l'accés SSH no autoritzat. S'executen programes C personalitzats per eliminar traces d'activitat maliciosa dels registres del sistema, cosa que redueix la visibilitat forense.

Per garantir la resiliència, el conjunt d'eines inclou un mecanisme de manteniment actiu dissenyat per rellançar el procés principal de programari maliciós en 60 segons si es tanca. Aquesta estratègia de persistència reforça la durabilitat en entorns compromesos.

Infraestructura de preparació i arsenal d’eines ofensives

L'anàlisi de la infraestructura de proves associada ha revelat un ampli repositori d'eines ofensives i programari maliciós documentat prèviament. El conjunt d'eines inclou:

  • Rootkits dissenyats per millorar la furtivitat i mantenir la persistència
  • Miners de criptomonedes
  • Un script de Python que executa un binari anomenat "website grabber" per recol·lectar credencials d'Amazon Web Services (AWS) exposades de llocs web vulnerables.
  • EnergyMech, un bot d'IRC que permet el comandament i el control i l'execució remota d'ordres

Aquesta col·lecció destaca un marc operatiu flexible capaç d'adaptar-se a múltiples objectius d'atac.

Pistes d’atribució i solapament operatiu

Els indicadors dins dels canals d'IRC i les llistes de paraules de configuració suggereixen un possible origen romanès, inclosa la presència de sobrenoms i argot d'estil romanès. A més, les característiques operatives se superposen significativament amb les del grup de hackers conegut com a Outlaw (també conegut com a Dota), cosa que indica una possible afiliació o un ofici compartit.

Orquestració madura sobre explotació novel·lesca

SSHStalker no es basa en vulnerabilitats de dia zero ni en el desenvolupament innovador de rootkits. En canvi, la campanya demostra un control operatiu disciplinat i una orquestració eficaç. El bot principal i els components de baix nivell estan escrits principalment en C, amb scripts de shell que gestionen la persistència i l'automatització. Python i Perl s'utilitzen selectivament per a funcions d'utilitat i tasques de suport dins de la cadena d'infecció.

Aquesta campanya exemplifica un flux de treball estructurat i escalable de compromís massiu que emfatitza el reciclatge d'infraestructures, l'automatització i la persistència a llarg termini en diversos entorns Linux. Més que no pas la innovació, el seu punt fort rau en l'execució, la coordinació i l'explotació estratègica de sistemes ignorats.

Tendència

No tens permís per enviar missatges. Estafa per...

Phishing, Correu brossa
Mantenir-se alerta quan arriben correus electrònics inesperats a una safata d'entrada és fonamental en el panorama d'amenaces actual. Els ciberdelinqüents suplanten habitualment proveïdors de serveis per explotar la confiança i la urgència, amb l'esperança que els destinataris actuïn abans de pensar. Un exemple d'això és l'estafa de correu electrònic "No teniu permís per enviar missatges", una...

Més vist

Carregant...