Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet SSHStalker

Botnet SSHStalker

Por Mezo em Redes de Bots, Ameaça Persistente Avançada (APT)
Traduzir Para:

Analistas de cibersegurança descobriram uma operação de botnet conhecida como SSHStalker, que utiliza o protocolo IRC (Internet Relay Chat) para comunicações de Comando e Controle (C2). Combinando a mecânica tradicional de botnets de IRC com técnicas automatizadas de comprometimento em massa, essa campanha reflete uma abordagem calculada e metódica para infiltração em infraestruturas.

Ao contrário das botnets modernas que priorizam a monetização rápida, a SSHStalker enfatiza a persistência e a expansão controlada, sinalizando um objetivo potencialmente estratégico em vez de ganho financeiro imediato.

Estratégia de Exploração: Visando os Esquecidos e os Sem Correção

No cerne do SSHStalker reside um foco deliberado em sistemas Linux legados. O conjunto de ferramentas incorpora uma coleção de 16 vulnerabilidades do kernel Linux, muitas datando de 2009 e 2010. Embora em grande parte ineficazes contra sistemas contemporâneos e totalmente atualizados, esses exploits permanecem viáveis contra infraestruturas desatualizadas ou negligenciadas.

As vulnerabilidades notáveis exploradas na campanha incluem CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 e CVE-2010-3437. Essa dependência de falhas antigas demonstra uma estratégia pragmática: explorar ambientes legados de nicho que frequentemente escapam à supervisão de segurança moderna.

Expansão semelhante a um verme por meio de automação SSH

O SSHStalker integra recursos de varredura automatizada para ampliar seu alcance. Um scanner baseado em Golang sonda ativamente a porta 22 para identificar sistemas que expõem serviços SSH. Uma vez descobertos, os hosts vulneráveis são comprometidos e inscritos em canais IRC, expandindo efetivamente a botnet de maneira semelhante a um worm.

Diversas cargas úteis são implantadas durante a infecção, incluindo variantes de um bot controlado por IRC e um bot de arquivos baseado em Perl. Esses componentes se conectam a um servidor UnrealIRCd, entram em canais de controle designados e aguardam instruções. A infraestrutura suporta ataques de tráfego coordenados em massa e gerenciamento centralizado de bots.

Apesar dessas capacidades, a campanha se abstém notavelmente de se envolver em atividades comuns de monetização pós-exploração, como ataques distribuídos de negação de serviço (DDoS), proxyjacking ou mineração de criptomoedas. Em vez disso, os sistemas comprometidos permanecem em grande parte inativos, mantendo o acesso persistente. Essa postura operacional contida sugere possíveis casos de uso, como preparação para ataques, retenção de acesso ou futuras operações coordenadas.

Furtividade, Persistência e Antiforense

A furtividade operacional é uma característica definidora do SSHStalker. O malware utiliza utilitários de limpeza de logs que manipulam os registros utmp, wtmp e lastlog para ocultar o acesso SSH não autorizado. Programas personalizados em C são executados para remover vestígios de atividade maliciosa dos logs do sistema, reduzindo a visibilidade forense.

Para garantir a resiliência, o conjunto de ferramentas inclui um mecanismo de manutenção de atividade projetado para reiniciar o processo principal do malware em até 60 segundos caso seja encerrado. Essa estratégia de persistência fortalece a capacidade de permanência em ambientes comprometidos.

Infraestrutura de preparação e arsenal de ferramentas ofensivas

A análise da infraestrutura de teste associada revelou um amplo repositório de ferramentas ofensivas e malware previamente documentado. O conjunto de ferramentas inclui:

  • Rootkits projetados para aprimorar o sigilo e manter a persistência.
  • mineradores de criptomoedas
  • Um script em Python que executa um binário chamado 'website grabber' para coletar credenciais expostas da Amazon Web Services (AWS) em sites vulneráveis.
  • EnergyMech, um bot de IRC que permite comando e controle e execução remota de comandos.

Esta coleção destaca uma estrutura operacional flexível, capaz de se adaptar a múltiplos objetivos de ataque.

Indícios de atribuição e sobreposição operacional

Os indicadores presentes nos canais IRC e nas listas de palavras de configuração sugerem uma possível origem romena, incluindo a presença de apelidos e gírias típicas da Romênia. Além disso, as características operacionais se sobrepõem significativamente às do grupo de hackers conhecido como Outlaw (também chamado de Dota), indicando uma possível afiliação ou compartilhamento de técnicas.

Orquestração madura sobre exploração inovadora

O SSHStalker não se baseia em vulnerabilidades de dia zero ou no desenvolvimento de rootkits inovadores. Em vez disso, a campanha demonstra um controle operacional disciplinado e uma orquestração eficaz. O bot principal e os componentes de baixo nível são escritos principalmente em C, com scripts de shell gerenciando a persistência e a automação. Python e Perl são usados seletivamente para funções utilitárias e tarefas de suporte dentro da cadeia de infecção.

Esta campanha exemplifica um fluxo de trabalho estruturado e escalável de compromisso em massa que enfatiza a reciclagem de infraestrutura, a automação e a persistência a longo prazo em diversos ambientes Linux. Mais do que a inovação, sua força reside na execução, na coordenação e na exploração estratégica de sistemas negligenciados.

Tendendo

Um Método Atualizado Para Bloquear os Vírus de...

Segurança do Computador
Um vírus de computador é um programa de computador que não apenas soa desagradável, mas também é perigoso de se ter, não importa o tipo de vírus que ele seja, spyware, malware, adware, etc.. Quando um novo vírus de computador invade o mundo online da informática, a probabilidade de que o software anti-vírus do usuário seja capaz de ser eficaz o suficiente para tornar impotente esse malware no...

Mais visto

Carregando...