Ebury-botnet
Een malwarebotnet met de naam Ebury heeft sinds 2009 ongeveer 400.000 Linux-servers geïnfiltreerd, terwijl eind 2023 nog ruim 100.000 servers gecompromitteerd waren. Dit botnet wordt door cyberbeveiligingsexperts erkend als een van de meest geavanceerde server-side malwarecampagnes gericht op financieel gewin.
De actoren achter Ebury zijn betrokken geweest bij verschillende activiteiten om inkomsten te genereren, zoals het verspreiden van spam, het omleiden van webverkeer en het stelen van inloggegevens. Bovendien zijn ze betrokken bij diefstal van cryptocurrency via Man-in-the-Middle (MitM)-aanvallen en creditcarddiefstal via onderschepping van netwerkverkeer, een techniek die gewoonlijk webskimming op de server wordt genoemd.
Inhoudsopgave
Cybercriminelen zijn betrapt op het exploiteren van het Ebury-botnet
Ebury ontstond ruim tien jaar geleden tijdens Operatie Windigo, een campagne gericht op het compromitteren van Linux-servers. Bij deze operatie werd Ebury samen met andere tools zoals Cdorked en Calfbot ingezet om webverkeer om te leiden en spam te verzenden. In augustus 2017 werd Maxim Senakh, een Russische staatsburger, veroordeeld tot bijna vier jaar gevangenisstraf in de VS vanwege zijn betrokkenheid bij de ontwikkeling en het onderhoud van het Ebury-botnet.
Senakh en zijn medewerkers gebruikten het Ebury-botnet om internetverkeer te manipuleren voor verschillende klikfraude- en spam-e-mailprogramma's, aldus het Amerikaanse ministerie van Justitie. Dit resulteerde in frauduleuze inkomsten ter hoogte van miljoenen dollars. Als onderdeel van zijn pleidooi bekende Senakh dat hij de criminele onderneming steunde door accounts aan te maken bij domeinregistreerders om de Ebury-botnetinfrastructuur uit te breiden en persoonlijk te profiteren van het verkeer dat daardoor werd gegenereerd.
Het Ebury Botnet besmette apparaten via talloze verschillende vectoren
Een onderzoek heeft meerdere tactieken aan het licht gebracht die door aanvallers worden gebruikt om Ebury te verspreiden, waaronder het stelen van SSH-inloggegevens, het opvullen van credentials, het infiltreren van de infrastructuur van hostingproviders, het misbruiken van kwetsbaarheden zoals Control Web Panel-fout CVE-2021-45467 en het uitvoeren van SSH-man-in-the-middle ( MitM)-aanvallen.
Bovendien zijn er dreigingsactoren waargenomen die valse of gestolen identiteiten gebruikten om hun activiteiten te verbergen. Ze hebben de infrastructuur gecompromitteerd die door andere kwaadwillende actoren wordt gebruikt, door de Ebury-malware in te zetten om hun doelstellingen te bereiken en de pogingen om deze te traceren te verwarren.
Aanvallers hebben bijvoorbeeld servers gecompromitteerd die verantwoordelijk zijn voor het verzamelen van gegevens van Vidar Stealer. Ze gebruikten gestolen identiteiten die ze via Vidar Stealer hadden verkregen om serverinfrastructuur te huren en activiteiten uit te voeren, waarbij ze opzettelijk de wetshandhaving misleidden. In een ander geval werd Ebury gebruikt om het systeem van een van de auteurs van het Mirai- botnet te doorbreken en de code te verkrijgen voordat deze publiekelijk werd vrijgegeven.
Aanvallers gebruikten Ebury om extra bedreigende ladingen af te leveren
De malware werkt als een achterdeur en dief van SSH-gegevens, waardoor aanvallers extra payloads zoals HelimodSteal, HelimodProxy en HelimodRedirect kunnen introduceren, waardoor hun bereik binnen gecompromitteerde netwerken wordt vergroot. De meest recente geïdentificeerde versie van Ebury is 1.8.2.
Deze tools zijn erop gericht om op verschillende manieren inkomsten te genereren met de gecompromitteerde servers. Strategieën voor het genereren van inkomsten omvatten diefstal van creditcardgegevens, diefstal van cryptocurrency, omleiding van verkeer, verspreiding van spam en diefstal van inloggegevens.
HelimodSteal, HelimodRedirect en HelimodProxy functioneren als HTTP-servermodules om HTTP POST-verzoeken te onderscheppen, HTTP-verkeer om te leiden naar advertenties en proxy-verkeer voor de distributie van spam. De groep maakt ook gebruik van een kernelmodule genaamd KernelRedirect, die een Netfilter-hook gebruikt om HTTP-verkeer te wijzigen en omleiding mogelijk te maken. HelimodSteal is speciaal ontworpen om creditcardgegevens vast te leggen die naar online winkels worden verzonden, en fungeert als een webskimmer aan de serverzijde om deze gevoelige informatie van geïnfecteerde servers te extraheren.
De aanvallers maken ook gebruik van software om kwaadaardig verkeer via firewalls te verbergen en toe te staan, samen met Perl-scripts, voor grootschalige man-in-the-middle-aanvallen binnen de datacenters van hostingproviders. Ze richten zich op waardevolle activa om cryptocurrency uit portemonnees te stelen.
