Ebury Botnet
Ett botnät för skadlig programvara som heter Ebury har infiltrerat runt 400 000 Linux-servrar sedan 2009, med över 100 000 servrar som återstår att kompromettera i slutet av 2023. Detta botnät erkänns av cybersäkerhetsexperter som en av de mest sofistikerade kampanjerna för skadlig programvara på serversidan som syftar till ekonomisk vinning.
Aktörerna bakom Ebury har engagerat sig i olika intäktsgenererande aktiviteter, som att distribuera spam, omdirigera webbtrafik och stjäla referenser. Dessutom är de inblandade i stöld av kryptovaluta genom Man-in-the-Middle (MitM)-attacker och kreditkortsstölder via nätverkstrafikavlyssning, en teknik som vanligtvis kallas webbskimming på serversidan.
Innehållsförteckning
Cyberbrottslingar fastnade för att använda Ebury Botnet
Ebury dök upp för över tio år sedan under Operation Windigo, en kampanj som syftade till att äventyra Linux-servrar. Denna operation distribuerade Ebury tillsammans med andra verktyg som Cdorked och Calfbot för att omdirigera webbtrafik och skicka skräppost. I augusti 2017 dömdes Maxim Senakh, en rysk medborgare, till nästan fyra års fängelse i USA för sin inblandning i att utveckla och underhålla Ebury-botnätet.
Senakh och hans medarbetare använde Ebury-botnätet för att manipulera internettrafik för olika klickbedrägerier och spam-e-postsystem, enligt det amerikanska justitiedepartementet. Detta resulterade i bedrägliga intäkter på miljontals dollar. Som en del av sin vädjan erkände Senakh att han stödde det kriminella företaget genom att skapa konton hos domänregistratorer för att utöka Eburys botnätinfrastruktur och personligen tjänade på trafiken som genererades av den.
Ebury Botnet-infekterade enheter via många olika vektorer
En undersökning har avslöjat flera taktiker som används av angripare för att distribuera Ebury, inklusive att stjäla SSH-uppgifter, fylla med autentiseringsuppgifter, infiltrera värdleverantörens infrastruktur, utnyttja sårbarheter som Control Web Panel-fel CVE-2021-45467 och genomföra SSH-man-in-the-miden ( MitM) attacker.
Dessutom har hotaktörer observerats använda falska eller stulna identiteter för att dölja sina aktiviteter. De har äventyrat infrastruktur som används av andra illvilliga aktörer, distribuerat Ebury malware för att uppnå sina mål och förvirra ansträngningarna att spåra dem.
Till exempel har angripare äventyrat servrar som är ansvariga för att samla in data från Vidar Stealer. De använde stulna identiteter som förvärvats genom Vidar Stealer för att hyra serverinfrastruktur och utföra aktiviteter, med avsikt vilseledande brottsbekämpning. I ett annat fall användes Ebury för att bryta mot systemet för en av Mirai -botnätsförfattarna, och fick koden innan den offentliggjordes.
Angripare använde Ebury för att leverera ytterligare hotfulla nyttolaster
Skadlig programvara fungerar som en bakdörr och SSH-referens-tjuv, vilket gör det möjligt för angripare att införa ytterligare nyttolaster som HelimodSteal, HelimodProxy och HelimodRedirect, och därmed utöka sin räckvidd inom komprometterade nätverk. Den senaste versionen av Ebury som identifierats är 1.8.2.
Dessa verktyg är inriktade på att tjäna pengar på de komprometterade servrarna på olika sätt. Intäktsgenereringsstrategier inkluderar stöld av kreditkortsinformation, stöld av kryptovalutor, omdirigering av trafik, spridning av skräppost och stöld av inloggningsuppgifter.
HelimodSteal, HelimodRedirect och HelimodProxy fungerar som HTTP-servermoduler för att fånga upp HTTP POST-förfrågningar, omdirigera HTTP-trafik till annonser och proxytrafik för spamdistribution. Gruppen använder också en kärnmodul som heter KernelRedirect, som använder en Netfilter-hook för att modifiera HTTP-trafik och möjliggöra omdirigering. HelimodSteal är speciellt utformad för att fånga in kreditkortsdata som skickas till onlinebutiker och fungerar som en webbskimmer på serversidan för att extrahera denna känsliga information från infekterade servrar.
Angriparna använder också programvara för att dölja och tillåta skadlig trafik genom brandväggar, tillsammans med Perl-skript, för storskaliga man-i-mitten-attacker inom värdleverantörers datacenter. De riktar in sig på värdefulla tillgångar för att stjäla kryptovaluta från plånböcker.
