Botnet Ebury
Malwarový botnet s názvem Ebury infiltroval od roku 2009 přibližně 400 000 linuxových serverů, přičemž ke konci roku 2023 zůstalo kompromitováno více než 100 000 serverů. Tento botnet je odborníky na kybernetickou bezpečnost uznáván jako jedna z nejsofistikovanějších malwarových kampaní na straně serveru zaměřených na finanční zisk.
Aktéři stojící za Ebury se zapojili do různých monetizačních aktivit, jako je distribuce spamu, přesměrování webového provozu a krádeže přihlašovacích údajů. Kromě toho jsou zapojeni do krádeží kryptoměn prostřednictvím útoků Man-in-the-Middle (MitM) a krádeží kreditních karet prostřednictvím zachycení síťového provozu, což je technika běžně označovaná jako web skimming na straně serveru.
Obsah
Kyberzločinci byli přistiženi při obsluze botnetu Ebury
Ebury se objevil před více než deseti lety během operace Windigo, kampaně zaměřené na kompromitování linuxových serverů. Tato operace nasadila Ebury spolu s dalšími nástroji jako Cdorked a Calfbot k přesměrování webového provozu a rozesílání spamu. V srpnu 2017 byl Maxim Senakh, ruský státní příslušník, odsouzen na téměř čtyři roky ve vězení v USA za svou účast na vývoji a údržbě botnetu Ebury.
Senakh a jeho spolupracovníci podle amerického ministerstva spravedlnosti využili botnet Ebury k manipulaci s internetovým provozem pro různé podvodné klikání a spamové e-mailové programy. To vedlo k podvodným příjmům ve výši milionů dolarů. Jako součást své prosby se Senakh přiznal k podpoře zločinného podnikání založením účtů u registrátorů domén za účelem rozšíření infrastruktury botnetu Ebury a osobně profitoval z provozu, který generuje.
Botnet Ebury infikoval zařízení prostřednictvím mnoha různých vektorů
Vyšetřování odhalilo několik taktik používaných útočníky k distribuci Ebury, včetně krádeže pověření SSH, naplňování pověření, infiltrace infrastruktury poskytovatelů hostingu, využívání zranitelností, jako je chyba Control Web Panel CVE-2021-45467, a provádění SSH man-in-the-middle ( MitM) útoky.
Kromě toho byli aktéři hrozeb pozorováni, jak používají falešné nebo odcizené identity, aby skryli své aktivity. Ohrozili infrastrukturu používanou jinými zlomyslnými aktéry, nasadili malware Ebury k dosažení svých cílů a zmátli snahy o jejich sledování.
Útočníci například kompromitovali servery odpovědné za shromažďování dat z Vidar Stealer. Využili ukradené identity získané prostřednictvím Vidar Stealer k pronájmu serverové infrastruktury a provádění činností, čímž záměrně uvedli v omyl vymáhání práva. V jiném případě bylo Ebury použito k prolomení systému jednoho z autorů botnetu Mirai a získání kódu před jeho veřejným zveřejněním.
Útočníci využili Ebury k dodání dalšího nebezpečného nákladu
Malware funguje jako backdoor a zloděj přihlašovacích údajů SSH, což útočníkům umožňuje zavést další užitečné zatížení, jako jsou HelimodSteal, HelimodProxy a HelimodRedirect, čímž se rozšiřuje jejich dosah v ohrožených sítích. Nejnovější identifikovaná verze Ebury je 1.8.2.
Tyto nástroje jsou zaměřeny na monetizaci napadených serverů různými způsoby. Strategie zpeněžení zahrnují krádeže informací o kreditních kartách, krádeže kryptoměn, přesměrování provozu, šíření spamu a krádeže přihlašovacích údajů.
HelimodSteal, HelimodRedirect a HelimodProxy fungují jako moduly HTTP serveru pro zachycování požadavků HTTP POST, přesměrování HTTP provozu na reklamy a proxy provoz pro distribuci spamu. Skupina také využívá modul jádra s názvem KernelRedirect, který využívá hák Netfilter k úpravě provozu HTTP a povolení přesměrování. HelimodSteal je speciálně navržen tak, aby zachycoval údaje o kreditních kartách odeslaných do online obchodů, a funguje jako webový skimmer na straně serveru k extrahování těchto citlivých informací z infikovaných serverů.
Útočníci také využívají software ke skrytí a povolení škodlivého provozu přes firewally spolu se skripty v Perlu pro rozsáhlé útoky typu man-in-the-middle v datových centrech poskytovatelů hostingu. Zaměřují se na cenná aktiva, aby ukradli kryptoměnu z peněženek.
