Ботнет Эбери
Вредоносный ботнет под названием Ebury с 2009 года проник на около 400 000 серверов Linux, причем по состоянию на конец 2023 года скомпрометировано более 100 000 серверов. Эксперты по кибербезопасности признают этот ботнет одной из самых сложных кампаний по распространению вредоносного ПО на стороне сервера, направленных на финансовую выгоду.
Стоящие за Ebury лица занимались различными видами монетизации, такими как распространение спама, перенаправление веб-трафика и кража учетных данных. Кроме того, они участвуют в краже криптовалюты посредством атак типа «человек посередине» (MitM) и краже кредитных карт посредством перехвата сетевого трафика — метода, обычно называемого веб-скиммингом на стороне сервера.
Оглавление
Киберпреступников поймали за использованием ботнета Ebury
Эбери появился более десяти лет назад во время операции «Виндиго» — кампании, направленной на компрометацию серверов Linux. В ходе этой операции Ebury был задействован вместе с другими инструментами, такими как Cdorked и Calfbot, для перенаправления веб-трафика и рассылки спама. В августе 2017 года гражданин России Максим Сенах был приговорен почти к четырем годам лишения свободы в США за участие в разработке и поддержании ботнета Ebury.
По данным Министерства юстиции США, Сенах и его коллеги использовали ботнет Ebury для манипулирования интернет-трафиком для различных схем мошенничества с кликами и рассылки спама. В результате мошеннические доходы составили миллионы долларов. В рамках своего заявления Сенах признался, что поддерживал преступное предприятие, открывая учетные записи у регистраторов доменов для расширения инфраструктуры ботнета Ebury, и лично получал прибыль от генерируемого им трафика.
Устройства, зараженные ботнетом Ebury с помощью множества различных векторов
Расследование выявило множество тактик, используемых злоумышленниками для распространения Ebury, включая кражу учетных данных SSH, подброс учетных данных, проникновение в инфраструктуру хостинг-провайдера, использование уязвимостей, таких как недостаток веб-панели управления CVE-2021-45467, и использование SSH «человек посередине» ( МитМ) атакует.
Кроме того, было замечено, что злоумышленники использовали поддельные или украденные личные данные для сокрытия своей деятельности. Они скомпрометировали инфраструктуру, используемую другими злоумышленниками, развернув вредоносное ПО Ebury для достижения своих целей и запутав усилия по их отслеживанию.
Например, злоумышленники взломали серверы, отвечающие за сбор данных Vidar Stealer. Они использовали украденные личные данные, полученные через Vidar Stealer, для аренды серверной инфраструктуры и осуществления деятельности, намеренно вводя в заблуждение правоохранительные органы. В другом случае Ebury использовался для взлома системы одного из авторов ботнета Mirai , получив код до его публичного выпуска.
Злоумышленники использовали Ebury для доставки дополнительных угрожающих грузов
Вредоносное ПО действует как бэкдор и похититель учетных данных SSH, позволяя злоумышленникам внедрять дополнительные полезные нагрузки, такие как HelimodSteal, HelimodProxy и HelimodRedirect, тем самым расширяя свою зону действия в скомпрометированных сетях. Самая последняя обнаруженная версия Ebury — 1.8.2.
Эти инструменты предназначены для монетизации скомпрометированных серверов различными способами. Стратегии монетизации включают кражу информации о кредитных картах, кражу криптовалюты, перенаправление трафика, распространение спама и кражу учетных данных.
HelimodSteal, HelimodRedirect и HelimodProxy функционируют как модули HTTP-сервера для перехвата HTTP-запросов POST, перенаправления HTTP-трафика на рекламные объявления и прокси-трафика для распространения спама. Группа также использует модуль ядра KernelRedirect, использующий перехват Netfilter для изменения HTTP-трафика и включения перенаправления. HelimodSteal специально разработан для сбора данных кредитных карт, передаваемых в интернет-магазины, и действует как веб-скиммер на стороне сервера для извлечения этой конфиденциальной информации с зараженных серверов.
Злоумышленники также используют программное обеспечение для сокрытия и пропуска вредоносного трафика через брандмауэры, а также сценарии Perl для крупномасштабных атак «человек посередине» в центрах обработки данных хостинг-провайдеров. Они нацелены на ценные активы, чтобы украсть криптовалюту из кошельков.
