Multilicenčná zľavová ponuka
Databáza hrozieb Botnety Botnet SSHStalker

Botnet SSHStalker

Do roku Mezo v roku Botnety, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Analytici kybernetickej bezpečnosti odhalili botnetovú operáciu známu ako SSHStalker, ktorá využíva protokol Internet Relay Chat (IRC) na komunikáciu typu Command-and-Control (C2). Kombináciou tradičných mechanizmov botnetu IRC s automatizovanými technikami hromadného narušenia táto kampaň odráža premyslený a metodický prístup k infiltrácii infraštruktúry.

Na rozdiel od moderných botnetov, ktoré uprednostňujú rýchlu monetizáciu, SSHStalker kladie dôraz na vytrvalosť a kontrolovanú expanziu, čím signalizuje potenciálne strategický cieľ a nie okamžitý finančný zisk.

Stratégia zneužívania: Zameranie sa na zabudnutých a nezaplátaných

Jadrom nástroja SSHStalker je zámerné zameranie na staršie systémy Linux. Sada nástrojov obsahuje kolekciu 16 zraniteľností jadra Linuxu, z ktorých mnohé pochádzajú z rokov 2009 a 2010. Hoci sú tieto zraniteľnosti do značnej miery neúčinné proti súčasným, plne opraveným systémom, zostávajú životaschopné proti zastaranej alebo zanedbanej infraštruktúre.

Medzi významné zraniteľnosti použité v kampani patria CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 a CVE-2010-3437. Toto spoliehanie sa na staršie chyby demonštruje pragmatickú stratégiu: zneužívanie dlhodobých zastaraných prostredí, ktoré často unikajú modernému bezpečnostnému dohľadu.

Rozšírenie podobné červom prostredníctvom automatizácie SSH

SSHStalker integruje automatické skenovacie funkcie, aby rozšíril svoj dosah. Skener založený na Golangu aktívne skúma port 22, aby identifikoval systémy, ktoré odhaľujú SSH služby. Po odhalení sú zraniteľní hostitelia napadnutí a zaregistrovaní do IRC kanálov, čím sa botnet efektívne rozširuje podobným spôsobom ako červ.

Počas infekcie sa nasadí niekoľko dátových úložisk, vrátane variantov bota ovládaného IRC a súborového bota založeného na jazyku Perl. Tieto komponenty sa pripájajú k serveru UnrealIRCd, pripájajú sa k určeným riadiacim kanálom a čakajú na pokyny. Infraštruktúra podporuje koordinované útoky typu flood a centralizovanú správu botov.

Napriek týmto možnostiam sa kampaň zdržiava bežných monetizačných aktivít po zneužití, ako sú distribuované útoky typu „denial-of-service“, proxyjacking alebo ťažba kryptomien. Namiesto toho zostávajú napadnuté systémy do značnej miery neaktívne a udržiavajú si trvalý prístup. Tento obmedzený prevádzkový stav naznačuje potenciálne prípady použitia, ako je napríklad staging, udržiavanie prístupu alebo budúce koordinované operácie.

Nenápadnosť, vytrvalosť a antiforenzná ochrana

Hlavnou črtou SSHStalkeru je operačná utajenosť. Malvér nasadzuje nástroje na čistenie protokolov, ktoré manipulujú so záznamami utmp, wtmp a lastlog, aby skryli neoprávnený prístup SSH. Na odstránenie stôp škodlivej aktivity zo systémových protokolov sa spúšťajú vlastné programy v jazyku C, čím sa znižuje forenzná viditeľnosť.

Pre zaistenie odolnosti obsahuje sada nástrojov mechanizmus udržiavania aktivity, ktorý je navrhnutý tak, aby po ukončení do 60 sekúnd znovu spustil primárny proces škodlivého softvéru. Táto stratégia perzistencie posilňuje odolnosť systému v napadnutých prostrediach.

Infraštruktúra pre prípravu a ofenzívne nástroje Arsenal

Analýza súvisiacej pracovnej infraštruktúry odhalila rozsiahle úložisko útočných nástrojov a predtým zdokumentovaného škodlivého softvéru. Sada nástrojov obsahuje:

  • Rootkity určené na zvýšenie utajenia a udržanie vytrvalosti
  • Ťažiari kryptomien
  • Skript v jazyku Python, ktorý spúšťa binárny súbor s názvom „website grabber“ na získanie odhalených prihlasovacích údajov Amazon Web Services (AWS) zo zraniteľných webových stránok.
  • EnergyMech, IRC bot umožňujúci velenie a riadenie a diaľkové vykonávanie príkazov

Táto kolekcia zdôrazňuje flexibilný operačný rámec schopný prispôsobiť sa viacerým cieľom útoku.

Atribučné kľúče a prekrývanie operácií

Indikátory v IRC kanáloch a konfiguračných zoznamoch slov naznačujú možný rumunský pôvod, vrátane prítomnosti prezývok a slangu v rumunskom štýle. Okrem toho sa prevádzkové charakteristiky výrazne prekrývajú s charakteristikami hackerskej skupiny známej ako Outlaw (tiež označovanej ako Dota), čo naznačuje možnú príslušnosť alebo spoločné obchodné remeslo.

Zrelá orchestrácia namiesto zneužívania románov

SSHStalker sa nespolieha na zraniteľnosti typu zero-day ani na vývoj prelomových rootkitov. Namiesto toho kampaň demonštruje disciplinovanú operačnú kontrolu a efektívnu orchestráciu. Jadrové boty a nízkoúrovňové komponenty sú primárne napísané v jazyku C, pričom perzistenciu a automatizáciu riadia shell skripty. Python a Perl sa selektívne používajú na úžitkové funkcie a podporné úlohy v rámci infekčného reťazca.

Táto kampaň je príkladom štruktúrovaného, škálovateľného pracovného postupu zameraného na hromadné kompromisy, ktorý kladie dôraz na recykláciu infraštruktúry, automatizáciu a dlhodobú perzistenciu v rôznych prostrediach Linuxu. Jej sila spočíva skôr v realizácii, koordinácii a strategickom využívaní prehliadaných systémov než v inovácii.

Trendy

Nemáte povolené posielať správy – podvod s e-mailom

Phishing, Spam
V dnešnom svete hrozieb je kritické zostať v strehu, keď sa do schránky dostanú neočakávané e-maily. Kyberzločinci sa bežne vydávajú za poskytovateľov služieb, aby zneužili dôveru a naliehavosť v nádeji, že príjemcovia budú konať skôr, ako si to rozmyslia. Jedným z takýchto príkladov je e-mailový podvod s názvom „Nemáte povolenie odosielať správy“, čo je klamlivá kampaň, ktorá nemá žiadnu...

Najviac videné

Načítava...