Ebury Botnet
Malware botnet pod nazivom Ebury infiltrirao se u oko 400.000 Linux poslužitelja od 2009., s više od 100.000 poslužitelja koji su ostali ugroženi do kraja 2023. Ovaj botnet prepoznat je od strane stručnjaka za kibernetičku sigurnost kao jedna od najsofisticiranijih kampanja zlonamjernog softvera na strani poslužitelja s ciljem financijske dobiti.
Glumci koji stoje iza Eburyja sudjelovali su u raznim aktivnostima monetizacije, poput distribucije neželjene pošte, preusmjeravanja web prometa i krađe vjerodajnica. Osim toga, uključeni su u krađu kriptovalute putem Man-in-the-Middle (MitM) napada i krađe kreditnih kartica putem presretanja mrežnog prometa, tehnike koja se obično naziva web-skiming na strani poslužitelja.
Sadržaj
Cyberkriminalci su uhvaćeni kako upravljaju Ebury Botnetom
Ebury se pojavio prije više od deset godina tijekom operacije Windigo, kampanje čiji je cilj bio kompromitiranje Linux poslužitelja. Ova operacija je implementirala Ebury zajedno s drugim alatima kao što su Cdorked i Calfbot za preusmjeravanje internetskog prometa i slanje neželjene pošte. U kolovozu 2017. Maxim Senakh, ruski državljanin, osuđen je na gotovo četiri godine zatvora u SAD-u zbog svoje umiješanosti u razvoj i održavanje Ebury botneta.
Senakh i njegovi suradnici koristili su Ebury botnet za manipuliranje internetskim prometom za različite sheme klikanja i neželjene e-pošte, prema američkom Ministarstvu pravosuđa. To je rezultiralo lažnim prihodima koji su iznosili milijune dolara. Kao dio svoje krivnje, Senakh je priznao da je podržavao zločinački pothvat tako što je otvorio račune kod registra domena kako bi proširio Ebury botnet infrastrukturu i osobno profitirao od prometa koji je generirao.
Ebury Botnet zaraženi uređaji putem brojnih različitih vektora
Istraga je otkrila višestruke taktike koje su koristili napadači za distribuciju Eburyja, uključujući krađu SSH vjerodajnica, punjenje vjerodajnicama, infiltraciju u infrastrukturu pružatelja usluga hostinga, iskorištavanje ranjivosti kao što je greška na kontrolnoj web ploči CVE-2021-45467 i provođenje SSH man-in-the-middle ( MitM) napada.
Osim toga, uočeno je da akteri prijetnji koriste lažne ili ukradene identitete kako bi prikrili svoje aktivnosti. Oni su ugrozili infrastrukturu koju koriste drugi zlonamjerni akteri, postavljajući zlonamjerni softver Ebury kako bi postigli svoje ciljeve i zbunili napore da im se uđe u trag.
Na primjer, napadači su kompromitirali poslužitelje odgovorne za prikupljanje podataka s Vidar Stealera. Koristili su ukradene identitete stečene putem Vidar Stealera za iznajmljivanje poslužiteljske infrastrukture i obavljanje aktivnosti, namjerno obmanjujući provođenje zakona. U drugom slučaju, Ebury je korišten za probijanje sustava jednog od autora botneta Mirai , dobivanjem koda prije njegove javne objave.
Napadači su koristili Ebury za isporuku dodatnih prijetećih tereta
Zlonamjerni softver djeluje kao backdoor i kradljivac SSH vjerodajnica, omogućujući napadačima uvođenje dodatnih korisnih opterećenja kao što su HelimodSteal, HelimodProxy i HelimodRedirect, čime proširuju svoj doseg unutar ugroženih mreža. Najnovija identificirana verzija Eburyja je 1.8.2.
Ovi su alati usmjereni na unovčavanje kompromitiranih poslužitelja na različite načine. Strategije monetizacije uključuju krađu podataka o kreditnoj kartici, krađu kriptovalute, preusmjeravanje prometa, širenje neželjene pošte i krađu vjerodajnica.
HelimodSteal, HelimodRedirect i HelimodProxy funkcioniraju kao moduli HTTP poslužitelja za presretanje HTTP POST zahtjeva, preusmjeravanje HTTP prometa na oglase i proxy promet za distribuciju neželjene pošte. Grupa također koristi kernel modul nazvan KernelRedirect, koristeći Netfilter kuku za modificiranje HTTP prometa i omogućavanje preusmjeravanja. HelimodSteal je posebno dizajniran za hvatanje podataka o kreditnim karticama dostavljenih internetskim trgovinama, djelujući kao web skimer na strani poslužitelja za izdvajanje ovih osjetljivih informacija sa zaraženih poslužitelja.
Napadači također koriste softver za prikrivanje i dopuštanje zlonamjernog prometa kroz vatrozid, zajedno s Perl skriptama, za velike napade "čovjek u sredini" unutar podatkovnih centara pružatelja usluga hostinga. Oni ciljaju vrijednu imovinu kako bi ukrali kriptovalutu iz novčanika.
