SSHStalker Botnet
Analistët e sigurisë kibernetike kanë zbuluar një operacion botnet të njohur si SSHStalker, i cili shfrytëzon protokollin Internet Relay Chat (IRC) për komunikimet Command-and-Control (C2). Duke kombinuar mekanikën tradicionale të botnet IRC me teknikat e automatizuara të kompromentimit masiv, kjo fushatë pasqyron një qasje të llogaritur dhe metodike ndaj infiltrimit të infrastrukturës.
Ndryshe nga botnet-et moderne që i japin përparësi fitimit të shpejtë të parave, SSHStalker thekson këmbënguljen dhe zgjerimin e kontrolluar, duke sinjalizuar një objektiv potencialisht strategjik në vend të fitimit të menjëhershëm financiar.
Tabela e Përmbajtjes
Strategjia e Shfrytëzimit: Synimi i të Harruarve dhe të Paarnuarve
Në thelb të SSHStalker qëndron një fokus i qëllimshëm në sistemet e trashëguara Linux. Seti i mjeteve përfshin një koleksion prej 16 dobësish të kernelit Linux, shumë prej të cilave datojnë që nga viti 2009 dhe 2010. Ndërsa janë kryesisht joefektive kundër sistemeve bashkëkohore, plotësisht të patched, këto shfrytëzime mbeten të zbatueshme kundër infrastrukturës së vjetëruar ose të lënë pas dore.
Dobësitë e dukshme të përdorura në fushatë përfshijnë CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 dhe CVE-2010-3437. Kjo mbështetje në të meta më të vjetra tregon një strategji pragmatike: shfrytëzimin e mjediseve të trashëguara me bisht të gjatë që shpesh i shpëtojnë mbikëqyrjes moderne të sigurisë.
Zgjerim i ngjashëm me krimbin përmes automatizimit SSH
SSHStalker integron aftësi skanimi automatik për të zgjeruar shtrirjen e tij. Një skaner i bazuar në Golang heton në mënyrë aktive portin 22 për të identifikuar sistemet që ekspozojnë shërbimet SSH. Pasi zbulohen, hostet e ndjeshëm kompromentohen dhe regjistrohen në kanalet IRC, duke zgjeruar në mënyrë efektive botnetin në një mënyrë të ngjashme me krimbin.
Disa ngarkesa të dobishme vendosen gjatë infeksionit, duke përfshirë variante të një boti të kontrolluar nga IRC dhe një boti skedarësh të bazuar në Perl. Këta komponentë lidhen me një server UnrealIRCd, bashkohen me kanale të caktuara kontrolli dhe presin udhëzime. Infrastruktura mbështet sulme të koordinuara të trafikut në stilin e përmbytjes dhe menaxhim të centralizuar të bot-eve.
Pavarësisht këtyre aftësive, fushata përmbahet dukshëm nga angazhimi në aktivitete të zakonshme të monetizimit pas shfrytëzimit, të tilla si sulmet e shpërndara të mohimit të shërbimit, proxyjacking ose minierimi i kriptomonedhave. Në vend të kësaj, sistemet e kompromentuara mbeten kryesisht në gjumë, duke ruajtur akses të vazhdueshëm. Ky qëndrim i kufizuar operativ sugjeron raste të mundshme përdorimi, të tilla si konfigurimi, ruajtja e aksesit ose operacione të koordinuara në të ardhmen.
Vjedhje, Këmbëngulje dhe Anti-Forensistikë
Fshehtësia operacionale është një tipar përcaktues i SSHStalker. Malware përdor programe për pastrimin e regjistrave që manipulojnë të dhënat utmp, wtmp dhe lastlog për të fshehur aksesin e paautorizuar në SSH. Programet e personalizuara C ekzekutohen për të hequr gjurmët e aktivitetit keqdashës nga regjistrat e sistemit, duke zvogëluar dukshmërinë mjeko-ligjore.
Për të siguruar qëndrueshmëri, paketa e mjeteve përfshin një mekanizëm mbajtës aktiv, i projektuar për të rilançuar procesin kryesor të malware-it brenda 60 sekondave nëse ndërpritet. Kjo strategji e qëndrueshmërisë forcon qëndrueshmërinë e bazës në mjediset e kompromentuara.
Infrastruktura e Skenimit dhe Mjetet Ofensive të Arsenalit
Analiza e infrastrukturës së lidhur me testimin e përmbajtjes ka zbuluar një depo të gjerë mjetesh sulmuese dhe programesh keqdashëse të dokumentuara më parë. Seti i mjeteve përfshin:
- Rootkit-e të dizajnuara për të përmirësuar fshehtësinë dhe për të ruajtur qëndrueshmërinë
- Minatorët e kriptomonedhave
- Një skript Python që ekzekuton një skedar binar të quajtur 'website grabber' për të mbledhur kredencialet e ekspozuara të Amazon Web Services (AWS) nga faqet e internetit të cenueshme.
- EnergyMech, një robot IRC që mundëson komandën dhe kontrollin dhe ekzekutimin e komandave në distancë
Ky koleksion nxjerr në pah një kornizë operacionale fleksibile të aftë për t'u përshtatur me objektiva të shumëfishta sulmi.
Indikacionet e Atribuimit dhe Mbivendosja Operacionale
Treguesit brenda kanaleve IRC dhe listave të fjalëve të konfigurimit sugjerojnë origjinë të mundshme rumune, duke përfshirë praninë e nofkave dhe zhargoneve në stilin rumun. Përveç kësaj, karakteristikat operative mbivendosen ndjeshëm me ato të grupit të hakerave të njohur si Outlaw (i referuar edhe si Dota), duke treguar përkatësi të mundshme ose tregti të përbashkët.
Orkestrim i pjekur mbi shfrytëzimin e romanit
SSHStalker nuk mbështetet në dobësitë zero-day ose në zhvillimin inovativ të rootkit-eve. Në vend të kësaj, fushata demonstron kontroll operativ të disiplinuar dhe orkestrim efektiv. Komponentët kryesorë të robotëve dhe të nivelit të ulët janë shkruar kryesisht në C, me skripte shell që menaxhojnë qëndrueshmërinë dhe automatizimin. Python dhe Perl përdoren në mënyrë selektive për funksione të dobishme dhe detyra mbështetëse brenda zinxhirit të infeksionit.
Kjo fushatë ilustron një rrjedhë pune të strukturuar dhe të shkallëzueshme me kompromis masiv që thekson riciklimin e infrastrukturës, automatizimin dhe qëndrueshmërinë afatgjatë në mjedise të ndryshme Linux. Në vend të inovacionit, forca e saj qëndron në ekzekutim, koordinim dhe shfrytëzim strategjik të sistemeve të anashkaluara.
