Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Botnet-ul SSHStalker

Botnet-ul SSHStalker

Până în Mezo în Rețele bot, Amenințare persistentă avansată (APT)
Tradu in:

Analiștii în domeniul securității cibernetice au descoperit o operațiune botnet cunoscută sub numele de SSHStalker, care utilizează protocolul Internet Relay Chat (IRC) pentru comunicațiile de tip Command-and-Control (C2). Prin combinarea mecanicii tradiționale a botnet-urilor IRC cu tehnici automate de compromitere în masă, această campanie reflectă o abordare calculată și metodică a infiltrării în infrastructură.

Spre deosebire de botnet-urile moderne care prioritizează monetizarea rapidă, SSHStalker pune accent pe persistență și expansiune controlată, semnalând un obiectiv potențial strategic mai degrabă decât un câștig financiar imediat.

Strategia de exploatare: Vizarea celor uitați și a celor nepachetate

În centrul SSHStalker se află o concentrare deliberată pe sistemele Linux vechi. Setul de instrumente încorporează o colecție de 16 vulnerabilități ale kernelului Linux, multe datând din 2009 și 2010. Deși în mare parte ineficiente împotriva sistemelor contemporane, complet actualizate, aceste vulnerabilități rămân viabile împotriva infrastructurii învechite sau neglijate.

Vulnerabilitățile notabile valorificate în cadrul campaniei includ CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 și CVE-2010-3437. Această dependență de defecte mai vechi demonstrează o strategie pragmatică: exploatarea mediilor moștenite cu coadă lungă (long-tail), care adesea scapă supravegherii moderne de securitate.

Expansiune asemănătoare viermilor prin automatizare SSH

SSHStalker integrează capacități de scanare automată pentru a-și extinde aria de acoperire. Un scaner bazat pe Golang sondează activ portul 22 pentru a identifica sistemele care expun serviciile SSH. Odată descoperite, gazdele susceptibile sunt compromise și înscrise în canalele IRC, extinzând efectiv botnet-ul într-un mod asemănător cu cel al unui vierme.

În timpul infecției sunt implementate mai multe sarcini utile, inclusiv variante ale unui bot controlat de IRC și ale unui bot de fișiere bazat pe Perl. Aceste componente se conectează la un server UnrealIRCd, se alătură canalelor de control desemnate și așteaptă instrucțiuni. Infrastructura acceptă atacuri de trafic coordonate de tip flood și gestionarea centralizată a botilor.

În ciuda acestor capabilități, campania se abține în mod special de la implicarea în activități comune de monetizare post-exploatare, cum ar fi atacurile distribuite de tip denial-of-service, proxyjacking-ul sau minarea criptomonedelor. În schimb, sistemele compromise rămân în mare parte inactive, menținând accesul persistent. Această postură operațională restrânsă sugerează potențiale cazuri de utilizare, cum ar fi staging-ul, păstrarea accesului sau operațiuni coordonate viitoare.

Stealth, Persistență și Anti-Forensics

Ascunderea operațională este o caracteristică definitorie a SSHStalker. Malware-ul implementează utilitare de curățare a jurnalelor care manipulează înregistrările utmp, wtmp și lastlog pentru a ascunde accesul SSH neautorizat. Programe C personalizate sunt executate pentru a elimina urmele de activitate rău intenționată din jurnalele de sistem, reducând vizibilitatea criminalistică.

Pentru a asigura reziliența, setul de instrumente include un mecanism de menținere a activității (keep-alive) conceput pentru a relansa procesul principal de malware în termen de 60 de secunde, dacă este terminat. Această strategie de persistență consolidează durabilitatea în mediile compromise.

Infrastructura de pregătire și arsenalul de instrumente ofensive

Analiza infrastructurii de staging asociate a relevat o vastă colecție de instrumente ofensive și programe malware documentate anterior. Setul de instrumente include:

  • Rootkit-uri concepute pentru a îmbunătăți ascunderea și a menține persistența
  • Mineri de criptomonede
  • Un script Python care execută un fișier binar numit „website grabber” pentru a colecta acreditări Amazon Web Services (AWS) expuse de pe site-uri web vulnerabile.
  • EnergyMech, un bot IRC care permite comandă și control și executarea comenzilor de la distanță

Această colecție evidențiază un cadru operațional flexibil, capabil să se adapteze la obiective multiple de atac.

Indicii de atribuire și suprapunerea operațională

Indicatorii din canalele IRC și listele de cuvinte de configurare sugerează o posibilă origine românească, inclusiv prezența poreclelor și a argoului în stil românesc. În plus, caracteristicile operaționale se suprapun semnificativ cu cele ale grupului de hackeri cunoscut sub numele de Outlaw (numit și Dota), indicând o potențială afiliere sau o abilitate comercială comună.

Orchestrare matură peste exploatarea romanului

SSHStalker nu se bazează pe vulnerabilități zero-day sau pe dezvoltarea inovatoare de rootkit-uri. În schimb, campania demonstrează un control operațional disciplinat și o orchestrare eficientă. Componentele principale ale botului și de nivel scăzut sunt scrise în principal în C, scripturile shell gestionând persistența și automatizarea. Python și Perl sunt utilizate selectiv pentru funcții utilitare și sarcini de asistență în cadrul lanțului de infecție.

Această campanie exemplifică un flux de lucru structurat și scalabil, bazat pe compromisuri masive, care pune accent pe reciclarea infrastructurii, automatizare și persistența pe termen lung în diverse medii Linux. Punctul său forte constă mai degrabă în inovație, în execuție, coordonare și exploatarea strategică a sistemelor trecute cu vederea.

Trending

Nu aveți permisiunea de a trimite mesaje....

phishing, Spam
A fi atent atunci când e-mailuri neașteptate ajung într-o căsuță poștală este esențial în peisajul amenințărilor actuale. Infractorii cibernetici se dau în mod obișnuit drept furnizori de servicii pentru a exploata încrederea și urgența, sperând că destinatarii vor acționa înainte de a se gândi. Un astfel de exemplu este escrocheria prin e-mail „Nu aveți permisiunea de a trimite mesaje”, o...

Cele mai văzute

Se încarcă...