Ebury Botnet
Botnet perisian hasad bernama Ebury telah menyusup sekitar 400,000 pelayan Linux sejak 2009, dengan lebih 100,000 pelayan masih terjejas sehingga akhir 2023. Botnet ini diiktiraf oleh pakar keselamatan siber sebagai salah satu kempen perisian hasad sebelah pelayan yang paling canggih yang bertujuan untuk keuntungan kewangan.
Pelakon di belakang Ebury telah terlibat dalam pelbagai aktiviti pengewangan, seperti mengedarkan spam, mengubah hala lalu lintas Web dan mencuri bukti kelayakan. Selain itu, mereka terlibat dalam kecurian mata wang kripto melalui serangan Man-in-the-Middle (MitM) dan kecurian kad kredit melalui pemintasan trafik rangkaian, teknik yang biasanya dirujuk sebagai penyidikan web sebelah pelayan.
Isi kandungan
Penjenayah Siber Terperangkap Mengendalikan Botnet Ebury
Ebury muncul lebih sepuluh tahun yang lalu semasa Operasi Windigo, kempen yang bertujuan untuk menjejaskan pelayan Linux. Operasi ini menggunakan Ebury bersama-sama dengan alat lain seperti Cdorked dan Calfbot untuk mengubah hala lalu lintas web dan menghantar spam. Pada Ogos 2017, Maxim Senakh, seorang warga Rusia, dijatuhi hukuman penjara hampir empat tahun di AS kerana penglibatannya dalam membangunkan dan menyelenggara botnet Ebury.
Senakh dan rakan-rakannya menggunakan botnet Ebury untuk memanipulasi trafik internet untuk pelbagai skim penipuan klik dan e-mel spam, menurut Jabatan Kehakiman AS. Ini mengakibatkan hasil penipuan berjumlah jutaan dolar. Sebagai sebahagian daripada rayuannya, Senakh mengaku menyokong perusahaan jenayah itu dengan menyediakan akaun dengan pendaftar domain untuk mengembangkan infrastruktur botnet Ebury dan secara peribadi mendapat keuntungan daripada trafik yang dihasilkan olehnya.
Peranti Dijangkiti Botnet Ebury melalui Pelbagai Vektor Berbeza
Siasatan telah mendedahkan pelbagai taktik yang digunakan oleh penyerang untuk mengedarkan Ebury, termasuk mencuri bukti kelayakan SSH, pemadat bukti kelayakan, menyusup infrastruktur penyedia pengehosan, mengeksploitasi kelemahan seperti kelemahan Panel Web Kawalan CVE-2021-45467, dan menjalankan SSH man-in-the-middle ( MitM) serangan.
Selain itu, pelaku ancaman telah diperhatikan menggunakan identiti palsu atau dicuri untuk menyembunyikan aktiviti mereka. Mereka telah menjejaskan infrastruktur yang digunakan oleh pelakon berniat jahat lain, menggunakan perisian hasad Ebury untuk mencapai objektif mereka dan mengelirukan usaha untuk mengesannya.
Sebagai contoh, penyerang menjejaskan pelayan yang bertanggungjawab untuk mengumpul data daripada Vidar Stealer. Mereka menggunakan identiti curi yang diperoleh melalui Vidar Stealer untuk menyewa infrastruktur pelayan dan menjalankan aktiviti, dengan sengaja mengelirukan penguatkuasaan undang-undang. Dalam kes lain, Ebury telah digunakan untuk melanggar sistem salah satu pengarang botnet Mirai , mendapatkan kod tersebut sebelum keluaran awamnya.
Penyerang Menggunakan Ebury untuk Menyampaikan Muatan Mengancam Tambahan
Malware ini beroperasi sebagai pencuri bukti kelayakan SSH dan pintu belakang, membolehkan penyerang memperkenalkan muatan tambahan seperti HelimodSteal, HelimodProxy dan HelimodRedirect, dengan itu meluaskan jangkauan mereka dalam rangkaian yang terjejas. Versi terbaru Ebury yang dikenal pasti ialah 1.8.2.
Alat ini ditujukan untuk mengewangkan pelayan yang terjejas melalui pelbagai cara. Strategi pengewangan termasuk kecurian maklumat kad kredit, pencurian mata wang kripto, pengalihan lalu lintas, penyebaran spam dan pencurian kelayakan.
HelimodSteal, HelimodRedirect dan HelimodProxy berfungsi sebagai modul pelayan HTTP untuk memintas permintaan HTTP POST, mengubah hala trafik HTTP ke iklan dan trafik proksi untuk pengedaran spam. Kumpulan itu juga menggunakan modul kernel bernama KernelRedirect, menggunakan cangkuk Netfilter untuk mengubah suai trafik HTTP dan mendayakan pengalihan. HelimodSteal direka khusus untuk menangkap data kad kredit yang diserahkan kepada kedai dalam talian, bertindak sebagai pemetik web sebelah pelayan untuk mengekstrak maklumat sensitif ini daripada pelayan yang dijangkiti.
Penyerang juga memanfaatkan perisian untuk menyembunyikan dan membenarkan trafik berniat jahat melalui tembok api, bersama-sama dengan skrip Perl, untuk serangan manusia-dalam-tengah berskala besar dalam pusat data penyedia pengehosan. Mereka menyasarkan aset berharga untuk mencuri mata wang kripto daripada dompet.
