ఎబరీ బోట్‌నెట్

Ebury అనే మాల్వేర్ బోట్‌నెట్ 2009 నుండి దాదాపు 400,000 Linux సర్వర్‌లలోకి చొరబడింది, 2023 చివరి నాటికి 100,000 సర్వర్‌లు రాజీ పడి ఉన్నాయి. ఈ బోట్‌నెట్‌ను సైబర్‌ సెక్యూరిటీ నిపుణులు అత్యంత అధునాతన ఆర్థిక ప్రచార సర్వర్‌లో అత్యంత అధునాతనమైన ఆర్థిక ప్రచార సర్వర్‌లలో ఒకటిగా గుర్తించారు.

Ebury వెనుక ఉన్న నటులు స్పామ్‌ని పంపిణీ చేయడం, వెబ్ ట్రాఫిక్‌ను దారి మళ్లించడం మరియు ఆధారాలను దొంగిలించడం వంటి వివిధ మానిటైజేషన్ కార్యకలాపాలలో నిమగ్నమై ఉన్నారు. అదనంగా, వారు మ్యాన్-ఇన్-ది-మిడిల్ (MitM) దాడుల ద్వారా క్రిప్టోకరెన్సీ దొంగతనం మరియు నెట్‌వర్క్ ట్రాఫిక్ ఇంటర్‌సెప్షన్ ద్వారా క్రెడిట్ కార్డ్ దొంగతనంలో పాల్గొంటారు, దీనిని సాధారణంగా సర్వర్-సైడ్ వెబ్ స్కిమ్మింగ్ అని పిలుస్తారు.

Ebury Botnetని ఆపరేట్ చేస్తూ సైబర్ నేరగాళ్లు పట్టుబడ్డారు

Ebury పదేళ్ల క్రితం ఆపరేషన్ Windigo సమయంలో ఉద్భవించింది, ఇది Linux సర్వర్‌లను రాజీ చేయడానికి ఉద్దేశించిన ప్రచారం. ఈ ఆపరేషన్ వెబ్ ట్రాఫిక్‌ను దారి మళ్లించడానికి మరియు స్పామ్ పంపడానికి Cdorked మరియు Calfbot వంటి ఇతర సాధనాలతో పాటు Eburyని అమలు చేసింది. ఆగష్టు 2017లో, రష్యా జాతీయుడైన మాగ్జిమ్ సెనాఖ్, ఎబరీ బోట్‌నెట్‌ను అభివృద్ధి చేయడం మరియు నిర్వహించడంలో పాలుపంచుకున్నందుకు US జైలులో దాదాపు నాలుగు సంవత్సరాల శిక్ష విధించబడింది.

US న్యాయ శాఖ ప్రకారం, వివిధ క్లిక్-ఫ్రాడ్ మరియు స్పామ్ ఇమెయిల్ స్కీమ్‌ల కోసం ఇంటర్నెట్ ట్రాఫిక్‌ను మార్చేందుకు సెనాఖ్ మరియు అతని సహచరులు Ebury బోట్‌నెట్‌ను ఉపయోగించారు. దీంతో లక్షలాది డాలర్ల మేర మోసపూరిత ఆదాయం వచ్చింది. తన అభ్యర్ధనలో భాగంగా, Ebury botnet ఇన్‌ఫ్రాస్ట్రక్చర్‌ను విస్తరించేందుకు డొమైన్ రిజిస్ట్రార్‌లతో ఖాతాలను ఏర్పాటు చేయడం ద్వారా నేర సంస్థకు మద్దతు ఇస్తున్నట్లు సెనాఖ్ ఒప్పుకున్నాడు మరియు దాని ద్వారా ఉత్పన్నమయ్యే ట్రాఫిక్ నుండి వ్యక్తిగతంగా లాభం పొందాడు.

Ebury Botnet అనేక విభిన్న వెక్టర్స్ ద్వారా పరికరాలను సోకింది

ఎస్‌ఎస్‌హెచ్ ఆధారాలను దొంగిలించడం, క్రెడెన్షియల్ స్టఫింగ్, హోస్టింగ్ ప్రొవైడర్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లోకి చొరబడడం, కంట్రోల్ వెబ్ ప్యానెల్ లోపం CVE-2021-45467 వంటి దుర్బలత్వాలను ఉపయోగించుకోవడం వంటి Eburyని పంపిణీ చేయడానికి దాడి చేసేవారు అనేక వ్యూహాలను కనుగొన్నట్లు దర్యాప్తులో వెల్లడైంది. MitM) దాడులు.

అదనంగా, బెదిరింపు నటులు తమ కార్యకలాపాలను దాచడానికి నకిలీ లేదా దొంగిలించబడిన గుర్తింపులను ఉపయోగించడం గమనించబడింది. వారు ఇతర హానికరమైన నటీనటులు ఉపయోగించిన అవస్థాపనతో రాజీ పడ్డారు, వారి లక్ష్యాలను సాధించడానికి Ebury మాల్వేర్‌ని మోహరించారు మరియు వాటిని కనుగొనే ప్రయత్నాలను గందరగోళపరిచారు.

ఉదాహరణకు, దాడి చేసేవారు Vidar Stealer నుండి డేటాను సేకరించే బాధ్యత కలిగిన సర్వర్‌లను రాజీ చేశారు. వారు విదార్ స్టీలర్ ద్వారా సంపాదించిన దొంగిలించబడిన గుర్తింపులను సర్వర్ మౌలిక సదుపాయాలను అద్దెకు తీసుకోవడానికి మరియు కార్యకలాపాలను నిర్వహించడానికి ఉపయోగించారు, ఉద్దేశపూర్వకంగా చట్ట అమలును తప్పుదారి పట్టించారు. మరొక సందర్భంలో, మిరాయ్ బోట్‌నెట్ రచయితలలో ఒకరి వ్యవస్థను ఉల్లంఘించడానికి Ebury ఉపయోగించబడింది, దాని పబ్లిక్ విడుదలకు ముందు కోడ్‌ను పొందింది.

దాడి చేసేవారు అదనపు బెదిరింపు పేలోడ్‌లను అందించడానికి Eburyని ఉపయోగించారు

మాల్వేర్ బ్యాక్‌డోర్ మరియు SSH క్రెడెన్షియల్ దొంగగా పని చేస్తుంది, దాడి చేసేవారు హెలిమోడ్‌స్టీల్, హెలిమోడ్‌ప్రాక్సీ మరియు హెలిమోడ్‌రీడైరెక్ట్ వంటి అదనపు పేలోడ్‌లను ప్రవేశపెట్టడానికి వీలు కల్పిస్తుంది, తద్వారా రాజీపడిన నెట్‌వర్క్‌లలో వారి పరిధిని విస్తరిస్తుంది. గుర్తించబడిన Ebury యొక్క అత్యంత ఇటీవలి వెర్షన్ 1.8.2.

ఈ సాధనాలు వివిధ మార్గాల ద్వారా రాజీపడిన సర్వర్‌లను మానిటైజ్ చేయడానికి ఉద్దేశించబడ్డాయి. మానిటైజేషన్ వ్యూహాలలో క్రెడిట్ కార్డ్ సమాచారం దొంగతనం, క్రిప్టోకరెన్సీ పైల్ఫరింగ్, ట్రాఫిక్ దారి మళ్లింపు, స్పామ్ వ్యాప్తి మరియు క్రెడెన్షియల్ దొంగతనం ఉన్నాయి.

HelimodSteal, HelimodRedirect, మరియు HelimodProxy HTTP POST అభ్యర్థనలను అడ్డగించడానికి, HTTP ట్రాఫిక్‌ను ప్రకటనలకు మళ్లించడానికి మరియు స్పామ్ పంపిణీ కోసం ప్రాక్సీ ట్రాఫిక్‌కు HTTP సర్వర్ మాడ్యూల్‌లుగా పనిచేస్తాయి. సమూహం కెర్నల్ రీడైరెక్ట్ అనే కెర్నల్ మాడ్యూల్‌ను కూడా ఉపయోగిస్తుంది, HTTP ట్రాఫిక్‌ను సవరించడానికి మరియు దారి మళ్లింపును ప్రారంభించడానికి నెట్‌ఫిల్టర్ హుక్‌ను ఉపయోగిస్తుంది. హెలిమోడ్‌స్టీల్ ప్రత్యేకంగా ఆన్‌లైన్ స్టోర్‌లకు సమర్పించబడిన క్రెడిట్ కార్డ్ డేటాను క్యాప్చర్ చేయడానికి రూపొందించబడింది, సోకిన సర్వర్‌ల నుండి ఈ సున్నితమైన సమాచారాన్ని సేకరించేందుకు సర్వర్-సైడ్ వెబ్ స్కిమ్మర్‌గా పనిచేస్తుంది.

హోస్టింగ్ ప్రొవైడర్ల డేటా సెంటర్‌లలో పెద్ద ఎత్తున మనిషి-ఇన్-ది-మిడిల్ దాడుల కోసం, పెర్ల్ స్క్రిప్ట్‌లతో పాటు ఫైర్‌వాల్‌ల ద్వారా హానికరమైన ట్రాఫిక్‌ను దాచిపెట్టడానికి మరియు అనుమతించడానికి దాడి చేసేవారు సాఫ్ట్‌వేర్‌ను ప్రభావితం చేస్తారు. వారు వాలెట్ల నుండి క్రిప్టోకరెన్సీని దొంగిలించడానికి విలువైన ఆస్తులను లక్ష్యంగా చేసుకుంటారు.