Ebury Botnet
Et malware-botnett ved navn Ebury har infiltrert rundt 400 000 Linux-servere siden 2009, med over 100 000 servere som gjenstår kompromittert i slutten av 2023. Dette botnettet er anerkjent av cybersikkerhetseksperter som en av de mest sofistikerte malware-kampanjene på serversiden rettet mot økonomisk gevinst.
Aktørene bak Ebury har engasjert seg i ulike inntektsgenereringsaktiviteter, som å distribuere spam, omdirigere nettrafikk og stjele legitimasjon. I tillegg er de involvert i kryptovaluta-tyveri gjennom Man-in-the-Middle (MitM)-angrep og kredittkorttyveri via nettverkstrafikkavskjæring, en teknikk som ofte refereres til som server-side web skimming.
Innholdsfortegnelse
Nettkriminelle ble tatt i bruk av Ebury Botnet
Ebury dukket opp for over ti år siden under Operation Windigo, en kampanje rettet mot å kompromittere Linux-servere. Denne operasjonen distribuerte Ebury sammen med andre verktøy som Cdorked og Calfbot for å omdirigere nettrafikk og sende spam. I august 2017 ble Maxim Senakh, en russisk statsborger, dømt til nesten fire år i amerikansk fengsel for sitt engasjement i å utvikle og vedlikeholde Ebury-botnettet.
Senakh og hans medarbeidere brukte Ebury-botnettet for å manipulere internettrafikk for ulike klikksvindel- og spam-e-postordninger, ifølge det amerikanske justisdepartementet. Dette resulterte i uredelige inntekter på millioner av dollar. Som en del av bønn hans tilsto Senakh å støtte det kriminelle foretaket ved å opprette kontoer hos domeneregistratorer for å utvide Ebury-botnett-infrastrukturen og personlig tjent på trafikken generert av den.
Ebury Botnet-infiserte enheter via mange forskjellige vektorer
En undersøkelse har avdekket flere taktikker brukt av angripere for å distribuere Ebury, inkludert å stjele SSH-legitimasjon, legitimasjonsfylling, infiltrere infrastruktur for vertsleverandører, utnytte sårbarheter som Control Web Panel-feil CVE-2021-45467, og utføre SSH-man-in-the-midten ( MitM) angrep.
I tillegg har trusselaktører blitt observert som bruker falske eller stjålne identiteter for å skjule aktivitetene deres. De har kompromittert infrastruktur brukt av andre ondsinnede aktører, distribuert Ebury malware for å nå sine mål og forvirre innsatsen for å spore dem.
For eksempel kompromitterte angripere servere som var ansvarlige for å samle inn data fra Vidar Stealer. De brukte stjålne identiteter anskaffet gjennom Vidar Stealer til å leie serverinfrastruktur og utføre aktiviteter, med vilje villedende rettshåndhevelse. I et annet tilfelle ble Ebury brukt til å bryte systemet til en av Mirai -botnettforfatterne, og skaffet koden før den ble publisert.
Angripere brukte Ebury for å levere ytterligere truende nyttelast
Skadevaren fungerer som en bakdør og SSH-legitimasjonstyv, som gjør det mulig for angripere å introdusere ytterligere nyttelaster som HelimodSteal, HelimodProxy og HelimodRedirect, og dermed utvide rekkevidden innenfor kompromitterte nettverk. Den siste versjonen av Ebury identifisert er 1.8.2.
Disse verktøyene er rettet mot å tjene penger på de kompromitterte serverne på forskjellige måter. Strategier for inntektsgenerering inkluderer tyveri av kredittkortinformasjon, tyveri av kryptovaluta, omdirigering av trafikk, spredning av spam og tyveri av legitimasjon.
HelimodSteal, HelimodRedirect og HelimodProxy fungerer som HTTP-servermoduler for å fange opp HTTP POST-forespørsler, omdirigere HTTP-trafikk til annonser og proxy-trafikk for spam-distribusjon. Gruppen bruker også en kjernemodul kalt KernelRedirect, og bruker en Netfilter-hook for å endre HTTP-trafikk og aktivere omdirigering. HelimodSteal er spesielt utviklet for å fange opp kredittkortdata som sendes til nettbutikker, og fungerer som en webskimmer på serversiden for å trekke ut denne sensitive informasjonen fra infiserte servere.
Angriperne utnytter også programvare for å skjule og tillate ondsinnet trafikk gjennom brannmurer, sammen med Perl-skript, for storskala mann-i-midten-angrep i hostingleverandørers datasentre. De retter seg mot verdifulle eiendeler for å stjele kryptovaluta fra lommebøker.
