Скидка на мультилицензию
База данных угроз Ботнеты Ботнет SSHStalker

Ботнет SSHStalker

К Mezo году в Ботнеты, Расширенная постоянная угроза (APT) году
Перевести на:

Аналитики в области кибербезопасности обнаружили ботнет под названием SSHStalker, который использует протокол Internet Relay Chat (IRC) для связи в режиме управления и контроля (C2). Сочетая традиционные механизмы ботнетов IRC с автоматизированными методами массового взлома, эта кампания отражает продуманный и методичный подход к проникновению в инфраструктуру.

В отличие от современных ботнетов, которые отдают приоритет быстрой монетизации, SSHStalker делает упор на устойчивость и контролируемое расширение, сигнализируя о потенциально стратегической цели, а не о немедленной финансовой выгоде.

Стратегия эксплуатации: нацеливание на забытые и необновлённые системы.

В основе SSHStalker лежит целенаправленная работа с устаревшими системами Linux. Инструментарий включает в себя набор из 16 уязвимостей ядра Linux, многие из которых относятся к 2009 и 2010 годам. Хотя они в основном неэффективны против современных, полностью обновленных систем, эти эксплойты остаются жизнеспособными против устаревшей или запущенной инфраструктуры.

В ходе кампании были использованы следующие уязвимости: CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 и CVE-2010-3437. Использование более старых уязвимостей демонстрирует прагматичную стратегию: эксплуатация устаревших сред, которые часто ускользают от современного контроля безопасности.

Червеобразное расширение посредством автоматизации SSH

SSHStalker интегрирует возможности автоматического сканирования для расширения своего охвата. Сканер на основе Golang активно исследует порт 22 для выявления систем, предоставляющих доступ к SSH-сервисам. После обнаружения уязвимые хосты компрометируются и присоединяются к IRC-каналам, эффективно расширяя ботнет подобно червю.

В ходе заражения развертывается несколько полезных нагрузок, включая варианты бота, управляемого через IRC, и файлового бота на основе Perl. Эти компоненты подключаются к серверу UnrealIRCd, присоединяются к назначенным каналам управления и ожидают инструкций. Инфраструктура поддерживает скоординированные атаки типа «флуд» и централизованное управление ботами.

Несмотря на эти возможности, кампания намеренно воздерживается от распространенных методов монетизации после взлома, таких как распределенные атаки типа «отказ в обслуживании», прокси-джекинг или майнинг криптовалюты. Вместо этого скомпрометированные системы остаются в основном в спящем режиме, сохраняя постоянный доступ. Такая сдержанная оперативная политика предполагает потенциальные варианты использования, такие как подготовка среды, сохранение доступа или будущие скоординированные операции.

Скрытность, настойчивость и противодействие криминалистике

Оперативная скрытность — отличительная черта SSHStalker. Вредоносная программа использует утилиты для очистки логов, которые манипулируют записями utmp, wtmp и lastlog, чтобы скрыть несанкционированный доступ по SSH. Для удаления следов вредоносной активности из системных логов запускаются пользовательские программы на языке C, что снижает возможности для проведения криминалистического анализа.

Для обеспечения устойчивости инструментарий включает механизм поддержания активности, предназначенный для перезапуска основного процесса вредоносного ПО в течение 60 секунд в случае его завершения. Эта стратегия обеспечения постоянного присутствия повышает устойчивость к атакам в скомпрометированных средах.

Подготовка инфраструктуры и арсенала наступательных средств.

Анализ соответствующей инфраструктуры развертывания выявил обширный набор инструментов для проведения атак и ранее задокументированного вредоносного ПО. В набор инструментов входят:

  • Руткиты, предназначенные для повышения скрытности и обеспечения постоянного присутствия в сети.
  • майнеры криптовалюты
  • Скрипт на Python, который запускает исполняемый файл под названием 'website grabber' для сбора уязвимых учетных данных Amazon Web Services (AWS) с уязвимых веб-сайтов.
  • EnergyMech — IRC-бот, обеспечивающий управление и дистанционное выполнение команд.

Данная подборка демонстрирует гибкую операционную структуру, способную адаптироваться к различным целям нападения.

Признаки атрибуции и операционное перекрытие

Признаки в IRC-каналах и списки слов конфигурации указывают на возможное румынское происхождение, включая наличие румынских ников и сленга. Кроме того, оперативные характеристики значительно совпадают с характеристиками хакерской группы Outlaw (также известной как Dota), что указывает на потенциальную связь или общие методы работы.

Зрелая оркестровка вместо новаторской эксплуатации

SSHStalker не полагается на уязвимости нулевого дня или революционные разработки руткитов. Вместо этого кампания демонстрирует дисциплинированный оперативный контроль и эффективную оркестровку. Основной бот и низкоуровневые компоненты написаны преимущественно на C, а скрипты оболочки управляют сохранением активности и автоматизацией. Python и Perl используются выборочно для вспомогательных функций и задач в цепочке заражения.

Эта кампания является примером структурированного, масштабируемого рабочего процесса массового взлома, который делает акцент на повторном использовании инфраструктуры, автоматизации и долговременном сохранении данных в различных средах Linux. Ее сила заключается не в инновациях, а в исполнении, координации и стратегическом использовании упущенных из виду систем.

В тренде

Вам запрещено отправлять сообщения, содержащие...

Фишинг, Спам
В условиях современных угроз крайне важно сохранять бдительность, когда в почтовый ящик попадают неожиданные электронные письма. Киберпреступники часто выдают себя за поставщиков услуг, чтобы использовать доверие и срочность, надеясь, что получатели предпримут действия, не подумав. Одним из таких примеров является мошенническая схема с электронными письмами «Вам запрещено отправлять сообщения»,...

Наиболее просматриваемые

Загрузка...