Oferta rabatowa na wiele licencji
Baza danych zagrożeń Botnety Botnet SSHStalker

Botnet SSHStalker

Do Mezo w Botnety, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Analitycy cyberbezpieczeństwa odkryli operację botnetu znaną jako SSHStalker, która wykorzystuje protokół IRC (Internet Relay Chat) do komunikacji typu Command-and-Control (C2). Łącząc tradycyjne mechanizmy botnetu IRC ze zautomatyzowanymi technikami masowego ataku, kampania ta odzwierciedla przemyślane i metodyczne podejście do infiltracji infrastruktury.

W przeciwieństwie do współczesnych botnetów, które stawiają na szybką monetyzację, SSHStalker kładzie nacisk na wytrwałość i kontrolowaną ekspansję, sygnalizując potencjalnie strategiczny cel, a nie natychmiastowy zysk finansowy.

Strategia eksploatacji: celowanie w zapomnianych i nienaprawionych

U podstaw SSHStalkera leży celowe skupienie się na starszych systemach Linux. Zestaw narzędzi zawiera zbiór 16 luk w jądrze Linuxa, z których wiele pochodzi z 2009 i 2010 roku. Choć w dużej mierze nieskuteczne w przypadku współczesnych, w pełni załatanych systemów, te exploity nadal są skuteczne w przypadku przestarzałej lub zaniedbanej infrastruktury.

Do istotnych luk wykorzystanych w kampanii należą: CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 i CVE-2010-3437. To poleganie na starszych lukach świadczy o pragmatycznej strategii: wykorzystywaniu starszych środowisk typu long-tail, które często wymykają się nowoczesnym nadzorom bezpieczeństwa.

Rozszerzenie typu robak poprzez automatyzację SSH

SSHStalker integruje funkcje automatycznego skanowania, aby poszerzyć swój zasięg. Skaner oparty na Golang aktywnie sonduje port 22 w celu identyfikacji systemów narażających usługi SSH. Po wykryciu, podatne hosty są przechwytywane i rejestrowane w kanałach IRC, skutecznie rozszerzając botnet w sposób przypominający robaka.

Podczas infekcji wdrażanych jest kilka ładunków, w tym warianty bota kontrolowanego przez IRC oraz bota plikowego opartego na Perlu. Komponenty te łączą się z serwerem UnrealIRCd, dołączają do wyznaczonych kanałów kontrolnych i oczekują na instrukcje. Infrastruktura obsługuje skoordynowane ataki typu flood oraz scentralizowane zarządzanie botami.

Pomimo tych możliwości, kampania unika angażowania się w typowe działania monetyzacyjne po wykorzystaniu, takie jak ataki typu DDoS (Distributed Denial of Service), proxyjacking czy kopanie kryptowalut. Zamiast tego zainfekowane systemy pozostają w dużej mierze uśpione, utrzymując stały dostęp. Ta powściągliwa postawa operacyjna sugeruje potencjalne zastosowania, takie jak staging, retencja dostępu lub przyszłe skoordynowane działania.

Skradanie się, wytrwałość i antykryminalistyka

Cechą charakterystyczną SSHStalkera jest jego ukrywanie operacyjne. Szkodliwe oprogramowanie wdraża narzędzia do czyszczenia logów, które manipulują rekordami utmp, wtmp i lastlog, aby ukryć nieautoryzowany dostęp do SSH. Wykonywane są niestandardowe programy w języku C, które usuwają ślady złośliwej aktywności z logów systemowych, ograniczając widoczność danych dochodzeniowych.

Aby zapewnić odporność, zestaw narzędzi zawiera mechanizm podtrzymywania aktywności (keep-alive), który w przypadku przerwania działania głównego procesu złośliwego oprogramowania uruchamia go ponownie w ciągu 60 sekund. Ta strategia trwałości wzmacnia trwałość systemu w zagrożonych środowiskach.

Infrastruktura inscenizacyjna i arsenał narzędzi ofensywnych

Analiza powiązanej infrastruktury pośredniczącej ujawniła szeroki zbiór narzędzi ofensywnych i wcześniej udokumentowanego złośliwego oprogramowania. Zestaw narzędzi obejmuje:

  • Rootkity zaprojektowane w celu zwiększenia ukrycia i utrzymania trwałości
  • Górnicy kryptowalut
  • Skrypt języka Python, który uruchamia plik binarny o nazwie „website grabber” w celu zebrania ujawnionych danych uwierzytelniających Amazon Web Services (AWS) z podatnych na ataki witryn internetowych
  • EnergyMech, bot IRC umożliwiający sterowanie i zdalne wykonywanie poleceń

Zbiór ten przedstawia elastyczną strukturę operacyjną, która jest w stanie dostosować się do różnych celów ataku.

Wskazówki atrybucji i nakładanie się operacyjne

Wskaźniki w kanałach IRC i listach słownictwa konfiguracyjnego sugerują możliwe pochodzenie rumuńskie, w tym obecność rumuńskich pseudonimów i slangu. Ponadto, charakterystyka operacyjna grupy hakerskiej Outlaw (znanej również jako Dota) w znacznym stopniu pokrywa się z jej działaniami, co wskazuje na potencjalne powiązania lub wspólne metody działania.

Dojrzała orkiestracja ponad nową eksploatacją

SSHStalker nie opiera się na lukach zero-day ani przełomowym rozwoju rootkitów. Zamiast tego, kampania demonstruje zdyscyplinowaną kontrolę operacyjną i skuteczną orkiestrację. Główne komponenty bota i niskiego poziomu są napisane głównie w języku C, a skrypty powłoki zarządzają trwałością i automatyzacją. Python i Perl są używane selektywnie do funkcji użytkowych i zadań wsparcia w łańcuchu infekcji.

Ta kampania jest przykładem ustrukturyzowanego, skalowalnego i masowego narażania się na kompromitację, który kładzie nacisk na recykling infrastruktury, automatyzację i długoterminową trwałość w zróżnicowanych środowiskach Linux. Jej siła tkwi nie w innowacyjności, ale w realizacji, koordynacji i strategicznym wykorzystaniu pomijanych systemów.

Popularne

Nie masz uprawnień do wysyłania wiadomości. Oszustwo...

Phishing, Spam
W dzisiejszym krajobrazie zagrożeń, zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest kluczowe. Cyberprzestępcy rutynowo podszywają się pod dostawców usług, aby wykorzystać zaufanie i poczucie pilności, licząc na to, że odbiorcy zareagują, zanim pomyślą. Jednym z takich przykładów jest oszustwo e-mailowe „Nie masz uprawnień do wysyłania wiadomości”, zwodnicza kampania,...

Najczęściej oglądane

Ładowanie...