Slevová nabídka pro více licencí
Databáze hrozeb Botnety Botnet SSHStalker

Botnet SSHStalker

V roce Mezo v roce Botnety, Pokročilá trvalá hrozba (APT)
Přeložit do:

Analytici kybernetické bezpečnosti odhalili botnetovou operaci známou jako SSHStalker, která využívá protokol Internet Relay Chat (IRC) pro komunikaci typu Command-and-Control (C2). Kombinací tradičních mechanismů botnetů IRC s automatizovanými technikami hromadného narušení bezpečnosti tato kampaň odráží promyšlený a metodický přístup k infiltraci infrastruktury.

Na rozdíl od moderních botnetů, které upřednostňují rychlou monetizaci, SSHStalker klade důraz na vytrvalost a kontrolovanou expanzi, což signalizuje potenciálně strategický cíl spíše než okamžitý finanční zisk.

Strategie zneužívání: Zaměření na zapomenuté a neopravené

Jádrem SSHStalkeru je záměrné zaměření na starší linuxové systémy. Sada nástrojů obsahuje kolekci 16 zranitelností linuxového jádra, z nichž mnohé pocházejí z let 2009 a 2010. I když jsou tyto zranitelnosti do značné míry neúčinné proti současným, plně opraveným systémům, zůstávají použitelné proti zastaralé nebo zanedbané infrastruktuře.

Mezi významné zranitelnosti zneužité v kampani patří CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 a CVE-2010-3437. Toto spoléhání se na starší chyby demonstruje pragmatickou strategii: zneužívání „dlouhých“ zastaralých prostředí, která často unikají modernímu bezpečnostnímu dohledu.

Rozšíření podobné červům prostřednictvím automatizace SSH

SSHStalker integruje funkce automatizovaného skenování pro rozšíření svého dosahu. Skener založený na platformě Golang aktivně zkoumá port 22 a identifikuje systémy, které zpřístupňují SSH služby. Jakmile jsou zranitelní hostitelé odhaleni, jsou napadeni a zaregistrováni do IRC kanálů, čímž se botnet efektivně rozšiřuje podobným způsobem jako červ.

Během infekce je nasazeno několik datových úložišť, včetně variant bota ovládaného IRC a souborového bota založeného na Perlu. Tyto komponenty se připojují k serveru UnrealIRCd, připojují se k určeným řídicím kanálům a čekají na instrukce. Infrastruktura podporuje koordinované útoky typu flood a centralizovanou správu botů.

Navzdory těmto možnostem se kampaň pozoruhodně zdržuje běžných monetizačních aktivit po zneužití, jako jsou distribuované útoky typu „denial-of-service“, proxyjacking nebo těžba kryptoměn. Místo toho zůstávají napadené systémy do značné míry nečinné a udržují si trvalý přístup. Tato omezená provozní situace naznačuje potenciální případy použití, jako je staging, uchovávání přístupu nebo budoucí koordinované operace.

Nenápadnost, vytrvalost a antiforenzní ochrana

Provozní utajení je určujícím rysem SSHStalkeru. Malware nasazuje nástroje pro čištění protokolů, které manipulují se záznamy utmp, wtmp a lastlog, aby zakryly neoprávněný přístup SSH. Vlastní programy v jazyce C se spouštějí za účelem odstranění stop škodlivé aktivity ze systémových protokolů, čímž se snižuje viditelnost pro forenzní účely.

Pro zajištění odolnosti obsahuje sada nástrojů mechanismus udržování aktivity, který je navržen tak, aby v případě ukončení znovu spustil primární malwarový proces do 60 sekund. Tato strategie perzistence posiluje odolnost systému v napadených prostředích.

Infrastruktura pro přípravu a útočné nástroje Arsenal

Analýza související infrastruktury pro testování odhalila rozsáhlé úložiště útočných nástrojů a dříve zdokumentovaného malwaru. Sada nástrojů obsahuje:

  • Rootkity určené ke zvýšení nenápadnosti a udržení vytrvalosti
  • Těžaři kryptoměn
  • Skript v Pythonu, který spouští binární soubor s názvem „website grabber“ pro získání odhalených přihlašovacích údajů Amazon Web Services (AWS) ze zranitelných webových stránek.
  • EnergyMech, IRC bot umožňující velení a řízení a vzdálené provádění příkazů

Tato kolekce zdůrazňuje flexibilní operační rámec schopný přizpůsobit se různým cílům útoku.

Atribuční vodítka a operační překrytí

Indikátory v IRC kanálech a konfiguračních seznamech slov naznačují možný rumunský původ, včetně přítomnosti přezdívek a slangu v rumunském stylu. Provozní charakteristiky se navíc výrazně překrývají s charakteristikami hackerské skupiny známé jako Outlaw (označované také jako Dota), což naznačuje možnou příslušnost nebo sdílené obchodní dovednosti.

Zralá orchestrace nad využitím nových prvků

SSHStalker se nespoléhá na zranitelnosti typu zero-day ani na vývoj průlomových rootkitů. Místo toho kampaň demonstruje disciplinovanou operační kontrolu a efektivní orchestraci. Jádro bota a nízkoúrovňové komponenty jsou primárně napsány v jazyce C, přičemž perzistence a automatizaci spravují shellové skripty. Python a Perl se selektivně používají pro užitné funkce a podpůrné úkoly v rámci infekčního řetězce.

Tato kampaň je příkladem strukturovaného, škálovatelného pracovního postupu zaměřeného na hromadné kompromisy, který klade důraz na recyklaci infrastruktury, automatizaci a dlouhodobou perzistenci v různých linuxových prostředích. Její síla spočívá spíše v provedení, koordinaci a strategickém využití přehlížených systémů než v inovacích.

Trendy

Nemáte povoleno odesílat zprávy – podvod s e-maily

Phishing, Spam
V dnešní době hrozeb je klíčové zůstat ve střehu, když se do schránky dostanou neočekávané e-maily. Kyberzločinci se běžně vydávají za poskytovatele služeb, aby zneužili důvěryhodnosti a naléhavosti a doufali, že příjemci budou jednat dříve, než se zamyslí. Jedním z takových příkladů je e-mailový podvod „Nemáte povoleno odesílat zprávy“, což je klamavá kampaň, která nemá žádnou souvislost s...

Nejvíce shlédnuto

Načítání...