Ebury Botnet

یک بات نت بدافزاری به نام Ebury از سال 2009 به حدود 400000 سرور لینوکس نفوذ کرده است و تا اواخر سال 2023 بیش از 100000 سرور در معرض خطر باقی مانده است.

بازیگران پشت Ebury در فعالیت‌های مختلف کسب درآمد، مانند توزیع هرزنامه، هدایت ترافیک وب و سرقت اطلاعات اعتبار شرکت کرده‌اند. علاوه بر این، آنها در سرقت ارزهای دیجیتال از طریق حملات Man-in-the-Middle (MitM) و سرقت کارت اعتباری از طریق رهگیری ترافیک شبکه، تکنیکی که معمولاً به عنوان مرور وب سمت سرور شناخته می شود، درگیر هستند.

مجرمان سایبری در حال کار با بات نت Ebury دستگیر شدند

Ebury بیش از ده سال پیش در طول عملیات Windigo ظهور کرد، کمپینی که هدف آن به خطر انداختن سرورهای لینوکس بود. این عملیات Ebury را به همراه ابزارهای دیگری مانند Cdorked و Calfbot برای هدایت ترافیک وب و ارسال هرزنامه مستقر کرد. در آگوست 2017، ماکسیم سناخ، یک تبعه روسیه، به دلیل مشارکت در توسعه و نگهداری بات نت Ebury به نزدیک به چهار سال زندان در آمریکا محکوم شد.

به گفته وزارت دادگستری ایالات متحده، سناخ و همکارانش از بات نت Ebury برای دستکاری ترافیک اینترنتی برای انواع کلاهبرداری های کلیکی و طرح های ایمیل هرزنامه استفاده کردند. این منجر به درآمد تقلبی بالغ بر میلیون ها دلار شد. به عنوان بخشی از درخواست خود، سناخ اعتراف کرد که از این شرکت جنایی با راه‌اندازی حساب‌هایی با ثبت‌کننده‌های دامنه برای گسترش زیرساخت بات‌نت Ebury حمایت کرده و شخصاً از ترافیک ایجاد شده توسط آن سود می‌برد.

Ebury Botnet دستگاه‌ها را از طریق چندین بردار مختلف آلوده کرده است

تحقیقات نشان داده است که تاکتیک‌های متعددی که توسط مهاجمان برای توزیع Ebury به کار گرفته شده‌اند، از جمله سرقت اعتبار SSH، پر کردن اعتبار، نفوذ به زیرساخت‌های ارائه‌دهنده هاست، سوء استفاده از آسیب‌پذیری‌هایی مانند نقص پنل کنترل وب CVE-2021-45467، و انجام SSH man-in-the-middle. حملات MitM)

علاوه بر این، عوامل تهدید مشاهده شده اند که از هویت جعلی یا سرقت شده برای پنهان کردن فعالیت های خود استفاده می کنند. آن‌ها زیرساخت‌های مورد استفاده سایر عوامل مخرب را به خطر انداخته‌اند و بدافزار Ebury را برای دستیابی به اهداف خود به کار می‌گیرند و تلاش‌ها برای ردیابی آنها را سردرگم می‌کنند.

برای مثال، مهاجمان سرورهایی را که مسئول جمع‌آوری داده‌ها از Vidar Stealer بودند، به خطر انداختند. آنها از هویت های سرقتی که از طریق Vidar Stealer به دست آورده بودند برای اجاره زیرساخت سرور و انجام فعالیت ها استفاده کردند که عمداً مجریان قانون را گمراه کردند. در موردی دیگر، Ebury برای نفوذ به سیستم یکی از نویسندگان بات‌نت Mirai و دریافت کد قبل از انتشار عمومی استفاده شد.

مهاجمان از Ebury برای تحویل بارهای تهدیدکننده اضافی استفاده کردند

این بدافزار به‌عنوان یک درب پشتی و سارق اعتبار SSH عمل می‌کند و مهاجمان را قادر می‌سازد تا محموله‌های اضافی مانند HelimodSteal، HelimodProxy و HelimodRedirect را معرفی کنند و در نتیجه دسترسی خود را در شبکه‌های در معرض خطر گسترش دهند. جدیدترین نسخه Ebury شناسایی شده 1.8.2 است.

این ابزارها برای کسب درآمد از سرورهای در معرض خطر از طریق ابزارهای مختلف طراحی شده اند. استراتژی های کسب درآمد شامل سرقت اطلاعات کارت اعتباری، سرقت ارزهای دیجیتال، هدایت مجدد ترافیک، انتشار هرزنامه و سرقت اعتبار می باشد.

HelimodSteal، HelimodRedirect و HelimodProxy به عنوان ماژول های سرور HTTP برای رهگیری درخواست های HTTP POST، هدایت ترافیک HTTP به تبلیغات، و ترافیک پروکسی برای توزیع هرزنامه عمل می کنند. این گروه همچنین از یک ماژول هسته به نام KernelRedirect استفاده می کند که از یک قلاب Netfilter برای اصلاح ترافیک HTTP و فعال کردن تغییر مسیر استفاده می کند. HelimodSteal به طور خاص طراحی شده است تا داده‌های کارت اعتباری ارسال شده به فروشگاه‌های آنلاین را جمع‌آوری کند و به عنوان یک اسکیمر وب سمت سرور برای استخراج این اطلاعات حساس از سرورهای آلوده عمل می‌کند.

مهاجمان همچنین از نرم‌افزاری برای پنهان کردن و اجازه دادن به ترافیک مخرب از طریق فایروال‌ها، همراه با اسکریپت‌های Perl، برای حملات انسان در مقیاس بزرگ در مراکز داده ارائه‌دهندگان میزبان استفاده می‌کنند. آنها دارایی های ارزشمند را برای سرقت ارزهای دیجیتال از کیف پول ها هدف قرار می دهند.