Ebury Botnet
Ebury नामक मालवेयर बोटनेटले 2009 देखि 400,000 Linux सर्भरहरूमा घुसपैठ गरेको छ, 100,000 भन्दा बढी सर्भरहरू 2023 को अन्त्यसम्ममा सम्झौता गर्न बाँकी छ। यो बोटनेटलाई साइबरसुरक्षा विशेषज्ञहरूले सबैभन्दा परिष्कृत सर्भर-साइड मालवेयर अभियानमा सबैभन्दा परिष्कृत सर्भर-साइड मालवेयर अभियानको रूपमा मान्यता दिएका छन्।
Ebury पछि कलाकारहरू विभिन्न मुद्रीकरण गतिविधिहरूमा संलग्न छन्, जस्तै स्प्याम वितरण, वेब ट्राफिक पुन: निर्देशित, र प्रमाणहरू चोरी। थप रूपमा, तिनीहरू म्यान-इन-द-मिडल (MitM) आक्रमणहरू र नेटवर्क ट्राफिक अवरोध मार्फत क्रेडिट कार्ड चोरी मार्फत क्रिप्टोकरेन्सी चोरीमा संलग्न छन्, यो प्रविधिलाई सामान्यतया सर्भर-साइड वेब स्किमिङ भनिन्छ।
सामग्रीको तालिका
साइबर अपराधीहरू Ebury Botnet सञ्चालन गर्दै पक्राउ परे
लिनक्स सर्भरहरूमा सम्झौता गर्ने उद्देश्यले अभियान विन्डिगो अपरेसनको दौडान दस वर्ष अघि एबरी देखा पर्यो। यो अपरेसनले वेब ट्राफिकलाई रिडिरेक्ट गर्न र स्प्याम पठाउन Cdorked र Calfbot जस्ता अन्य उपकरणहरूसँग Ebury लाई तैनात गर्यो। अगस्ट 2017 मा, म्याक्सिम सेनाख, एक रूसी नागरिक, Ebury botnet को विकास र रखरखाव मा आफ्नो संलग्नता को लागी एक अमेरिकी जेल मा लगभग चार बर्ष को सजाय सुनाइयो।
अमेरिकी न्याय विभागका अनुसार सेनाख र उनका सहयोगीहरूले विभिन्न क्लिक-फ्राड र स्प्याम इमेल योजनाहरूको लागि इन्टरनेट ट्राफिकलाई हेरफेर गर्न इबरी बोटनेट प्रयोग गरे। यसले गर्दा करोडौंको राजस्व ठगी भयो । आफ्नो निवेदनको एक भागको रूपमा, सेनाखले इबरी बोटनेट पूर्वाधार विस्तार गर्न डोमेन रजिस्ट्रारहरूसँग खाताहरू स्थापना गरेर आपराधिक उद्यमलाई समर्थन गरेको स्वीकार गरे र यसबाट उत्पन्न हुने ट्राफिकबाट व्यक्तिगत रूपमा लाभ उठाए।
Ebury Botnet धेरै फरक भेक्टरहरू मार्फत संक्रमित उपकरणहरू
एक अनुसन्धानले Ebury वितरण गर्न आक्रमणकारीहरूले प्रयोग गर्ने धेरै रणनीतिहरू पत्ता लगाएको छ, जसमा SSH प्रमाणहरू चोरी गर्ने, प्रमाणहरू भर्ने, होस्टिङ प्रदायक पूर्वाधारमा घुसपैठ गर्ने, कन्ट्रोल वेब प्यानल त्रुटि CVE-2021-45467 जस्ता कमजोरीहरूको शोषण गर्ने, र SSH म्यान-इन-इन-इन-सञ्चालन गर्ने। MitM) आक्रमणहरू।
थप रूपमा, धम्की दिने कलाकारहरूले आफ्ना गतिविधिहरू लुकाउन नक्कली वा चोरीको पहिचान प्रयोग गर्ने पनि देखिएका छन्। तिनीहरूले अन्य दुर्भावनापूर्ण अभिनेताहरू द्वारा प्रयोग गरिएको पूर्वाधारमा सम्झौता गरेका छन्, तिनीहरूको उद्देश्यहरू प्राप्त गर्न Ebury मालवेयर तैनात गर्दै र तिनीहरूलाई ट्रेस गर्ने प्रयासहरूलाई भ्रमित पार्दै।
उदाहरणका लागि, आक्रमणकारीहरूले Vidar Stealer बाट डाटा सङ्कलन गर्न जिम्मेवार सर्भरहरू सम्झौता गरे। तिनीहरूले सर्भर पूर्वाधार भाडामा लिन र गतिविधिहरू सञ्चालन गर्न Vidar Stealer मार्फत अधिग्रहण गरेको चोरी पहिचानहरू प्रयोग गर्थे, जानाजानी कानून प्रवर्तनलाई भ्रामक बनाउन। अर्को अवस्थामा, Ebury Mirai botnet लेखकहरू मध्ये एकको प्रणाली उल्लङ्घन गर्न प्रयोग गरिएको थियो, यसको सार्वजनिक रिलीज अघि कोड प्राप्त गर्दै।
आक्रमणकारीहरूले थप धम्की दिने पेलोडहरू प्रदान गर्न एबरी प्रयोग गरे
मालवेयरले ब्याकडोर र SSH क्रेडेन्सियल चोरको रूपमा काम गर्दछ, जसले आक्रमणकारीहरूलाई HelimodSteal, HelimodProxy, र HelimodRedirect जस्ता थप पेलोडहरू परिचय गराउन सक्षम पार्छ, जसले गर्दा तिनीहरूको पहुँचलाई सम्झौता गरिएका नेटवर्कहरूमा विस्तार हुन्छ। पहिचान गरिएको Ebury को सबैभन्दा भर्खरको संस्करण 1.8.2 हो।
यी उपकरणहरू विभिन्न माध्यमहरू मार्फत सम्झौता गरिएका सर्भरहरूलाई मुद्रीकरण गर्न तयार छन्। मुद्रीकरण रणनीतिहरूमा क्रेडिट कार्ड जानकारीको चोरी, क्रिप्टोकरेन्सी चोरी, ट्राफिक रिडायरेक्शन, स्प्याम प्रसार, र प्रमाणपत्र चोरी समावेश छ।
HelimodSteal, HelimodRedirect, र HelimodProxy HTTP सर्भर मोड्युलको रूपमा HTTP POST अनुरोधहरू रोक्न, HTTP ट्राफिकलाई विज्ञापनहरूमा रिडिरेक्ट गर्न, र स्प्याम वितरणको लागि प्रोक्सी ट्राफिकको रूपमा कार्य गर्दछ। समूहले KernelRedirect नामको कर्नेल मोड्युल पनि प्रयोग गर्दछ, HTTP ट्राफिक परिमार्जन गर्न र पुन: निर्देशन सक्षम गर्न नेटफिल्टर हुक प्रयोग गरी। HelimodSteal विशेष गरी अनलाइन स्टोरहरूमा पेश गरिएको क्रेडिट कार्ड डाटा क्याप्चर गर्न डिजाइन गरिएको हो, संक्रमित सर्भरहरूबाट यो संवेदनशील जानकारी निकाल्न सर्भर-साइड वेब स्किमरको रूपमा काम गर्दै।
आक्रमणकारीहरूले होस्टिङ प्रदायकहरूको डाटा सेन्टरहरूमा ठूला-ठूला म्यान-इन-द-मिडल आक्रमणहरूको लागि पर्ल स्क्रिप्टहरू सहित फायरवालहरू मार्फत मालिसियस ट्राफिक लुकाउन र अनुमति दिन सफ्टवेयरको लाभ उठाउँछन्। तिनीहरूले वालेटहरूबाट क्रिप्टोकरेन्सी चोरी गर्न बहुमूल्य सम्पत्तिहरूलाई लक्षित गर्छन्।
