Ebury Botnet
Et malware-botnet ved navn Ebury har infiltreret omkring 400.000 Linux-servere siden 2009, og over 100.000 servere er fortsat kompromitteret i slutningen af 2023. Dette botnet er anerkendt af cybersikkerhedseksperter som en af de mest sofistikerede server-side malware-kampagner rettet mod økonomisk gevinst.
Aktørerne bag Ebury har engageret sig i forskellige indtægtsgenereringsaktiviteter, såsom at distribuere spam, omdirigere webtrafik og stjæle legitimationsoplysninger. Derudover er de involveret i kryptovaluta-tyveri gennem Man-in-the-Middle (MitM)-angreb og kreditkorttyveri via netværkstrafikaflytning, en teknik, der almindeligvis omtales som server-side web skimming.
Indholdsfortegnelse
Cyberkriminelle blev fanget i at betjene Ebury Botnet
Ebury dukkede op for over ti år siden under Operation Windigo, en kampagne, der havde til formål at kompromittere Linux-servere. Denne operation implementerede Ebury sammen med andre værktøjer som Cdorked og Calfbot til at omdirigere webtrafik og sende spam. I august 2017 blev Maxim Senakh, en russisk statsborger, idømt næsten fire års amerikansk fængsel for sin involvering i udvikling og vedligeholdelse af Ebury-botnettet.
Senakh og hans medarbejdere brugte Ebury-botnettet til at manipulere internettrafik til forskellige kliksvindel og spam-e-mail-ordninger, ifølge det amerikanske justitsministerium. Dette resulterede i svigagtige indtægter på millioner af dollars. Som en del af sin bøn tilstod Senakh at have støttet den kriminelle virksomhed ved at oprette konti hos domæneregistratorer for at udvide Ebury-botnet-infrastrukturen og personligt drage fordel af den trafik, den genererede.
De Ebury Botnet-inficerede enheder via adskillige forskellige vektorer
En undersøgelse har afsløret flere taktikker anvendt af angribere til at distribuere Ebury, herunder at stjæle SSH-legitimationsoplysninger, legitimationsoplysninger, infiltrere hostingudbyderens infrastruktur, udnytte sårbarheder som Control Web Panel-fejl CVE-2021-45467 og udføre SSH-mand-in-the-midten ( MitM) angreb.
Derudover er trusselsaktører blevet observeret bruge falske eller stjålne identiteter for at skjule deres aktiviteter. De har kompromitteret infrastruktur brugt af andre ondsindede aktører, implementeret Ebury malware for at nå deres mål og forvirre indsatsen for at spore dem.
For eksempel kompromitterede angribere servere, der var ansvarlige for at indsamle data fra Vidar Stealer. De brugte stjålne identiteter erhvervet gennem Vidar Stealer til at leje serverinfrastruktur og udføre aktiviteter, hvilket bevidst vildlede retshåndhævelsen. I et andet tilfælde blev Ebury brugt til at bryde systemet hos en af Mirai -botnet-forfatterne og opnåede koden før dens offentlige udgivelse.
Angribere brugte Ebury til at levere yderligere truende nyttelast
Malwaren fungerer som en bagdør og SSH-legitimationstyv, hvilket gør det muligt for angribere at introducere yderligere nyttelaster som HelimodSteal, HelimodProxy og HelimodRedirect og derved udvide deres rækkevidde inden for kompromitterede netværk. Den seneste identificerede version af Ebury er 1.8.2.
Disse værktøjer er gearet til at tjene penge på de kompromitterede servere på forskellige måder. Indtægtsgenereringsstrategier omfatter tyveri af kreditkortoplysninger, tyveri af kryptovaluta, trafikomdirigering, spredning af spam og tyveri af legitimationsoplysninger.
HelimodSteal, HelimodRedirect og HelimodProxy fungerer som HTTP-servermoduler til at opsnappe HTTP POST-anmodninger, omdirigere HTTP-trafik til reklamer og proxy-trafik til spamdistribution. Gruppen bruger også et kernemodul ved navn KernelRedirect, der anvender en Netfilter-hook til at ændre HTTP-trafik og aktivere omdirigering. HelimodSteal er specielt designet til at indfange kreditkortdata, der sendes til onlinebutikker, og fungerer som en webskimmer på serversiden til at udtrække disse følsomme oplysninger fra inficerede servere.
Angriberne udnytter også software til at skjule og tillade ondsindet trafik gennem firewalls sammen med Perl-scripts til storstilede man-in-the-midten-angreb inden for hostingudbyderes datacentre. De målretter værdifulde aktiver for at stjæle kryptovaluta fra tegnebøger.
