எபரி பாட்நெட்
Ebury என்ற மால்வேர் பாட்நெட் 2009 ஆம் ஆண்டு முதல் சுமார் 400,000 லினக்ஸ் சர்வர்களில் ஊடுருவியுள்ளது, 2023 ஆம் ஆண்டின் பிற்பகுதியில் 100,000 க்கும் மேற்பட்ட சேவையகங்கள் சமரசம் செய்யப்பட்டுள்ளன. இந்த போட்நெட் இணைய பாதுகாப்பு நிபுணர்களால் மிகவும் அதிநவீன நிதி ஆதாய சேவையகங்களில் ஒன்றாக அங்கீகரிக்கப்பட்டுள்ளது.
Ebury க்கு பின்னால் உள்ள நடிகர்கள் ஸ்பேமை விநியோகித்தல், வலை போக்குவரத்தை திசைதிருப்புதல் மற்றும் நற்சான்றிதழ்களை திருடுதல் போன்ற பல்வேறு பணமாக்குதல் நடவடிக்கைகளில் ஈடுபட்டுள்ளனர். கூடுதலாக, அவர்கள் மேன்-இன்-தி-மிடில் (MitM) தாக்குதல்கள் மூலம் கிரிப்டோகரன்சி திருட்டு மற்றும் நெட்வொர்க் ட்ராஃபிக் இடைமறிப்பு மூலம் கடன் அட்டை திருடுதல் ஆகியவற்றில் ஈடுபட்டுள்ளனர், இது பொதுவாக சர்வர்-சைட் வெப் ஸ்கிம்மிங் என குறிப்பிடப்படுகிறது.
பொருளடக்கம்
சைபர் கிரைமினல்கள் Ebury Botnet ஐ இயக்கி பிடிபட்டனர்
லினக்ஸ் சேவையகங்களை சமரசம் செய்வதை நோக்கமாகக் கொண்ட ஆபரேஷன் விண்டிகோவின் போது Ebury பத்து ஆண்டுகளுக்கு முன்பு தோன்றியது. இந்தச் செயல்பாடு Ebury ஐ Cdorked மற்றும் Calfbot போன்ற பிற கருவிகளுடன் இணையப் போக்குவரத்தைத் திருப்பிவிடவும் ஸ்பேமை அனுப்பவும் பயன்படுத்தியது. ஆகஸ்ட் 2017 இல், மாக்சிம் செனாக் என்ற ரஷ்ய நாட்டவர், Ebury botnet ஐ உருவாக்கி பராமரிப்பதில் ஈடுபட்டதற்காக அமெரிக்க சிறையில் கிட்டத்தட்ட நான்கு ஆண்டுகள் சிறைத்தண்டனை விதிக்கப்பட்டார்.
செனக் மற்றும் அவரது கூட்டாளிகள் பல்வேறு கிளிக்-மோசடி மற்றும் ஸ்பேம் மின்னஞ்சல் திட்டங்களுக்கு இணைய போக்குவரத்தை கையாள Ebury botnet ஐப் பயன்படுத்தினர் என்று அமெரிக்க நீதித்துறை தெரிவித்துள்ளது. இதன் மூலம் கோடிக்கணக்கான டாலர்களுக்கு மோசடி நடந்துள்ளது. அவரது வேண்டுகோளின் ஒரு பகுதியாக, Ebury botnet உள்கட்டமைப்பை விரிவுபடுத்த டொமைன் பதிவாளர்களுடன் கணக்குகளை அமைப்பதன் மூலம் குற்றவியல் நிறுவனத்தை ஆதரிப்பதாக செனக் ஒப்புக்கொண்டார், மேலும் அதன் மூலம் உருவாக்கப்பட்ட போக்குவரத்திலிருந்து தனிப்பட்ட முறையில் லாபம் பெற்றார்.
Ebury Botnet பல வேறுபட்ட வெக்டர்கள் வழியாக சாதனங்களை பாதித்தது
SSH நற்சான்றிதழ்களைத் திருடுதல், நற்சான்றிதழ் நிரப்புதல், ஹோஸ்டிங் வழங்குநரின் உள்கட்டமைப்பில் ஊடுருவுதல், கண்ட்ரோல் வெப் பேனல் குறைபாடு CVE-2021-45467 போன்ற பாதிப்புகளைப் பயன்படுத்துதல் உள்ளிட்ட Ebury ஐ விநியோகிக்க தாக்குபவர்கள் கையாண்ட பல யுக்திகளை விசாரணையில் வெளிப்படுத்தியுள்ளது. MitM) தாக்குதல்கள்.
கூடுதலாக, அச்சுறுத்தல் நடிகர்கள் தங்கள் செயல்பாடுகளை மறைக்க போலி அல்லது திருடப்பட்ட அடையாளங்களைப் பயன்படுத்துவதை அவதானிக்கிறார்கள். அவர்கள் மற்ற தீங்கிழைக்கும் நடிகர்களால் பயன்படுத்தப்படும் உள்கட்டமைப்பை சமரசம் செய்து, தங்கள் நோக்கங்களை அடைய Ebury மால்வேரைப் பயன்படுத்துகின்றனர் மற்றும் அவற்றைக் கண்டுபிடிப்பதற்கான முயற்சிகளை குழப்புகின்றனர்.
உதாரணமாக, வீடார் ஸ்டீலரிடமிருந்து தரவைச் சேகரிப்பதற்குப் பொறுப்பான சர்வர்களைத் தாக்குபவர்கள் சமரசம் செய்தனர். அவர்கள் விடார் ஸ்டீலர் மூலம் பெறப்பட்ட திருடப்பட்ட அடையாளங்களைப் பயன்படுத்தி, சர்வர் உள்கட்டமைப்பை வாடகைக்கு எடுப்பதற்கும், சட்ட அமலாக்கத்தை வேண்டுமென்றே தவறாக வழிநடத்துவதற்கும் பயன்படுத்தினர். மற்றொரு வழக்கில், Ebury ஆனது Mirai botnet ஆசிரியர்களில் ஒருவரின் அமைப்பை மீறுவதற்குப் பயன்படுத்தப்பட்டது, அதன் பொது வெளியீட்டிற்கு முன்பே குறியீட்டைப் பெறுகிறது.
தாக்குபவர்கள் கூடுதல் அச்சுறுத்தும் பேலோடுகளை வழங்க Ebury ஐப் பயன்படுத்தினர்
தீம்பொருள் ஒரு பின்கதவு மற்றும் SSH நற்சான்றிதழ் திருடனாக செயல்படுகிறது, தாக்குபவர்களுக்கு HelimodSteal, HelimodProxy மற்றும் HelimodRedirect போன்ற கூடுதல் பேலோடுகளை அறிமுகப்படுத்த உதவுகிறது, இதன் மூலம் சமரசம் செய்யப்பட்ட நெட்வொர்க்குகளுக்குள் அவர்களின் அணுகலை நீட்டிக்கிறது. Ebury இன் மிகச் சமீபத்திய பதிப்பு 1.8.2 என அடையாளம் காணப்பட்டுள்ளது.
இந்த கருவிகள் பல்வேறு வழிகளில் சமரசம் செய்யப்பட்ட சேவையகங்களை பணமாக்குவதற்கு உதவுகின்றன. பணமாக்குதல் உத்திகளில் கிரெடிட் கார்டு தகவல் திருட்டு, கிரிப்டோகரன்சி திருட்டு, போக்குவரத்து திசைதிருப்பல், ஸ்பேம் பரப்புதல் மற்றும் நற்சான்றிதழ் திருட்டு ஆகியவை அடங்கும்.
HelimodSteal, HelimodRedirect மற்றும் HelimodProxy ஆகியவை HTTP POST கோரிக்கைகளை இடைமறிக்க, HTTP ட்ராஃபிக்கை விளம்பரங்களுக்கு திருப்பிவிட மற்றும் ஸ்பேம் விநியோகத்திற்கான ப்ராக்ஸி டிராஃபிக்கை HTTP சர்வர் தொகுதிகளாகச் செயல்படுகின்றன. குழுவானது KernelRedirect என்ற பெயரிடப்பட்ட கர்னல் தொகுதியையும் பயன்படுத்துகிறது, HTTP போக்குவரத்தை மாற்றவும், திசைதிருப்பலை இயக்கவும் Netfilter ஹூக்கைப் பயன்படுத்துகிறது. ஹெலிமோட்ஸ்டீல் குறிப்பாக ஆன்லைன் ஸ்டோர்களில் சமர்ப்பிக்கப்பட்ட கிரெடிட் கார்டு தரவைக் கைப்பற்ற வடிவமைக்கப்பட்டுள்ளது, பாதிக்கப்பட்ட சர்வர்களிடமிருந்து இந்த முக்கியமான தகவலைப் பிரித்தெடுக்க சர்வர் பக்க வெப் ஸ்கிம்மராக செயல்படுகிறது.
ஹோஸ்டிங் வழங்குநர்களின் தரவு மையங்களுக்குள் பெரிய அளவிலான மேன்-இன்-தி-மிடில் தாக்குதல்களுக்கு, பெர்ல் ஸ்கிரிப்ட்களுடன், ஃபயர்வால்கள் மூலம் தீங்கிழைக்கும் போக்குவரத்தை மறைக்கவும் அனுமதிக்கவும் மென்பொருளை தாக்குபவர்கள் பயன்படுத்துகின்றனர். பணப்பையிலிருந்து கிரிப்டோகரன்சியைத் திருட அவர்கள் மதிப்புமிக்க சொத்துக்களை குறிவைக்கின்றனர்.
