Ебури Ботнет
Малверски ботнет под именом Ебури инфилтрирао се на око 400.000 Линук сервера од 2009. године, са преко 100.000 сервера који су остали компромитовани до краја 2023. Стручњаци за сајбер безбедност препознају овај ботнет као један од најсофистициранијих сервера у финансијским кампањама против малвера.
Актери који стоје иза Ебури-ја су се бавили разним активностима монетизације, као што су дистрибуција нежељене поште, преусмеравање веб саобраћаја и крађа акредитива. Поред тога, они су укључени у крађу криптовалута кроз нападе Ман-ин-тхе-Миддле (МитМ) и крађу кредитних картица путем пресретања мрежног саобраћаја, техника која се обично назива веб скимминг на страни сервера.
Преглед садржаја
Сајбер криминалци су ухваћени како управљају Ебури ботнетом
Ебури се појавио пре више од десет година током Операције Виндиго, кампање која је имала за циљ компромитовање Линук сервера. Ова операција је применила Ебури заједно са другим алатима као што су Цдоркед и Цалфбот за преусмеравање веб саобраћаја и слање нежељене поште. У августу 2017, Максим Сенах, руски држављанин, осуђен је на скоро четири године затвора у САД због свог учешћа у развоју и одржавању Ебури ботнета.
Сенак и његови сарадници су користили Ебури ботнет да манипулишу интернет саобраћајем за разне шеме за превару кликова и нежељену е-пошту, наводи Министарство правде САД. То је резултирало лажним приходима који су износили милионе долара. Као део свог изјашњавања, Сенак је признао да је подржавао злочиначки подухват тако што је отворио налоге код регистратора домена како би проширио Ебури ботнет инфраструктуру и лично је профитирао од саобраћаја који је генерисао.
Ебури Ботнет је заразио уређаје преко бројних различитих вектора
Истрага је открила више тактика које су нападачи користили за дистрибуцију Ебурија, укључујући крађу ССХ акредитива, пуњење акредитива, инфилтрирање у инфраструктуру провајдера хостинга, искоришћавање рањивости као што је грешка контролног веб панела ЦВЕ-2021-45467 и провођење ССХ-а „ман-ин-тхе-миддле“ ( МитМ) напада.
Поред тога, примећени су актери претњи који користе лажне или украдене идентитете да би сакрили своје активности. Они су угрозили инфраструктуру коју користе други злонамерни актери, примењујући злонамерни софтвер Ебури да би постигли своје циљеве и збунили напоре да им се уђе у траг.
На пример, нападачи су компромитовали сервере одговорне за прикупљање података из Видар Стеалер-а. Користили су украдене идентитете стечене преко Видар Стеалер-а да изнајме серверску инфраструктуру и обављају активности, намерно доводећи у заблуду органе за спровођење закона. У другом случају, Ебури је коришћен за пробијање система једног од аутора Мираи ботнета, добијајући код пре његовог јавног објављивања.
Нападачи су користили Ебури да испоруче додатне претеће терете
Малвер функционише као крадљивац акредитива и ССХ акредитива, омогућавајући нападачима да уведу додатне корисне податке као што су ХелимодСтеал, ХелимодПроки и ХелимодРедирецт, чиме проширују свој домет унутар угрожених мрежа. Најновија идентификована верзија Ебурија је 1.8.2.
Ови алати су усмерени на монетизацију компромитованих сервера на различите начине. Стратегије монетизације укључују крађу информација о кредитној картици, крађу криптовалута, преусмеравање саобраћаја, ширење нежељене поште и крађу акредитива.
ХелимодСтеал, ХелимодРедирецт и ХелимодПроки функционишу као модули ХТТП сервера за пресретање ХТТП ПОСТ захтева, преусмеравање ХТТП саобраћаја на рекламе и прокси саобраћај за дистрибуцију нежељене поште. Група такође користи модул кернела под називом КернелРедирецт, који користи закачицу Нетфилтер да модификује ХТТП саобраћај и омогући преусмеравање. ХелимодСтеал је посебно дизајниран за хватање података о кредитним картицама који се достављају онлајн продавницама, делујући као веб скимер на страни сервера за издвајање ових осетљивих информација са заражених сервера.
Нападачи такође користе софтвер за прикривање и дозвољавање злонамерног саобраћаја кроз заштитне зидове, заједно са Перл скриптама, за велике нападе „човјек у средини“ унутар центара података хостинг провајдера. Они циљају вредна средства да украду криптовалуте из новчаника.
