อีบิวรี บอตเน็ต
บอทเน็ตมัลแวร์ชื่อ Ebury ได้แทรกซึมเข้าไปในเซิร์ฟเวอร์ Linux ประมาณ 400,000 เครื่องตั้งแต่ปี 2552 โดยมีเซิร์ฟเวอร์มากกว่า 100,000 เครื่องที่ยังคงถูกโจมตีในช่วงปลายปี 2566 บอทเน็ตนี้ได้รับการยอมรับจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ว่าเป็นหนึ่งในแคมเปญมัลแวร์ฝั่งเซิร์ฟเวอร์ที่ซับซ้อนที่สุดที่มุ่งเป้าไปที่ผลประโยชน์ทางการเงิน
นักแสดงที่อยู่เบื้องหลัง Ebury มีส่วนร่วมในกิจกรรมการสร้างรายได้ต่างๆ เช่น การกระจายสแปม การเปลี่ยนเส้นทางการรับส่งข้อมูลเว็บ และการขโมยข้อมูลประจำตัว นอกจากนี้ พวกเขายังเกี่ยวข้องกับการขโมยสกุลเงินดิจิตอลผ่านการโจมตีแบบ Man-in-the-Middle (MitM) และการขโมยบัตรเครดิตผ่านการสกัดกั้นการรับส่งข้อมูลเครือข่าย ซึ่งเป็นเทคนิคที่เรียกกันทั่วไปว่าการท่องเว็บฝั่งเซิร์ฟเวอร์
สารบัญ
อาชญากรไซเบอร์ถูกจับได้ว่าใช้ Ebury Botnet
Ebury เกิดขึ้นเมื่อสิบปีที่แล้วระหว่าง Operation Windigo ซึ่งเป็นแคมเปญที่มุ่งเป้าไปที่การโจมตีเซิร์ฟเวอร์ Linux การดำเนินการนี้ปรับใช้ Ebury ร่วมกับเครื่องมืออื่นๆ เช่น Cdorked และ Calfbot เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลเว็บและส่งสแปม ในเดือนสิงหาคม 2017 Maxim Senakh ชาวรัสเซียถูกตัดสินจำคุกเกือบสี่ปีในคุกสหรัฐฯ ฐานมีส่วนร่วมในการพัฒนาและบำรุงรักษาบ็อตเน็ต Ebury
Senakh และเพื่อนร่วมงานของเขาใช้บอตเน็ต Ebury เพื่อจัดการการรับส่งข้อมูลอินเทอร์เน็ตสำหรับแผนการหลอกลวงการคลิกและอีเมลขยะต่างๆ ตามข้อมูลของกระทรวงยุติธรรมสหรัฐฯ ส่งผลให้เกิดการฉ้อโกงรายได้เป็นจำนวนหลายล้านดอลลาร์ ส่วนหนึ่งของคำร้องขอของเขา Senakh สารภาพว่าสนับสนุนองค์กรอาชญากรรมโดยการตั้งค่าบัญชีกับผู้รับจดทะเบียนโดเมนเพื่อขยายโครงสร้างพื้นฐานบ็อตเน็ตของ Ebury และได้รับผลกำไรเป็นการส่วนตัวจากปริมาณข้อมูลที่สร้างขึ้น
อุปกรณ์ที่ติดไวรัส Ebury Botnet ผ่านเวกเตอร์ที่แตกต่างกันจำนวนมาก
การสืบสวนได้เปิดเผยกลยุทธ์หลายอย่างที่ผู้โจมตีใช้เพื่อเผยแพร่ Ebury รวมถึงการขโมยข้อมูลประจำตัว SSH การเติมข้อมูลประจำตัว การแทรกซึมโครงสร้างพื้นฐานของผู้ให้บริการโฮสต์ การใช้ประโยชน์จากช่องโหว่ เช่น ข้อบกพร่องของ Control Web Panel CVE-2021-45467 และการดำเนินการ SSH แบบแทรกกลาง ( MitM) การโจมตี
นอกจากนี้ ยังพบว่าผู้คุกคามใช้ข้อมูลระบุตัวตนปลอมหรือถูกขโมยเพื่อปกปิดกิจกรรมของพวกเขา พวกเขาได้บุกรุกโครงสร้างพื้นฐานที่ใช้โดยผู้ไม่ประสงค์ดีรายอื่น โดยปรับใช้มัลแวร์ Ebury เพื่อให้บรรลุวัตถุประสงค์และสร้างความสับสนให้กับความพยายามในการติดตามพวกเขา
ตัวอย่างเช่น ผู้โจมตีโจมตีเซิร์ฟเวอร์ที่รับผิดชอบในการรวบรวมข้อมูลจาก Vidar Stealer พวกเขาใช้ข้อมูลประจำตัวที่ถูกขโมยที่ได้รับผ่าน Vidar Stealer เพื่อเช่าโครงสร้างพื้นฐานเซิร์ฟเวอร์และดำเนินกิจกรรมต่างๆ โดยมีเจตนาทำให้หน่วยงานบังคับใช้กฎหมายเข้าใจผิด ในอีกกรณีหนึ่ง Ebury ถูกใช้เพื่อเจาะระบบของหนึ่งในผู้เขียนบอทเน็ต Mirai และได้รับโค้ดก่อนที่จะเผยแพร่สู่สาธารณะ
ผู้โจมตีใช้ Ebury เพื่อส่งน้ำหนักบรรทุกที่คุกคามเพิ่มเติม
มัลแวร์ทำงานเป็นแบ็คดอร์และขโมยข้อมูลประจำตัว SSH ช่วยให้ผู้โจมตีแนะนำเพย์โหลดเพิ่มเติม เช่น HelimodSteal, HelimodProxy และ HelimodRedirect ซึ่งจะช่วยขยายขอบเขตการเข้าถึงภายในเครือข่ายที่ถูกบุกรุก เวอร์ชันล่าสุดของ Ebury ที่ระบุคือ 1.8.2
เครื่องมือเหล่านี้มุ่งเน้นไปที่การสร้างรายได้จากเซิร์ฟเวอร์ที่ถูกบุกรุกด้วยวิธีการต่างๆ กลยุทธ์การสร้างรายได้ ได้แก่ การขโมยข้อมูลบัตรเครดิต การขโมยเงินดิจิทัล การเปลี่ยนเส้นทางการรับส่งข้อมูล การแพร่กระจายสแปม และการขโมยข้อมูลประจำตัว
HelimodSteal, HelimodRedirect และ HelimodProxy ทำหน้าที่เป็นโมดูลเซิร์ฟเวอร์ HTTP เพื่อสกัดกั้นคำขอ HTTP POST เปลี่ยนเส้นทางการรับส่งข้อมูล HTTP ไปยังโฆษณา และการรับส่งข้อมูลพร็อกซีสำหรับการกระจายสแปม กลุ่มยังใช้โมดูลเคอร์เนลชื่อ KernelRedirect โดยใช้ Netfilter hook เพื่อแก้ไขการรับส่งข้อมูล HTTP และเปิดใช้งานการเปลี่ยนเส้นทาง HelimodSteal ได้รับการออกแบบมาโดยเฉพาะเพื่อรวบรวมข้อมูลบัตรเครดิตที่ส่งไปยังร้านค้าออนไลน์ โดยทำหน้าที่เป็นเว็บสกิมเมอร์ฝั่งเซิร์ฟเวอร์เพื่อดึงข้อมูลที่ละเอียดอ่อนนี้จากเซิร์ฟเวอร์ที่ติดไวรัส
ผู้โจมตียังใช้ประโยชน์จากซอฟต์แวร์เพื่อปกปิดและอนุญาตการรับส่งข้อมูลที่เป็นอันตรายผ่านไฟร์วอลล์ พร้อมด้วยสคริปต์ Perl สำหรับการโจมตีแบบคนกลางขนาดใหญ่ภายในศูนย์ข้อมูลของผู้ให้บริการโฮสต์ พวกเขากำหนดเป้าหมายสินทรัพย์อันมีค่าเพื่อขโมยสกุลเงินดิจิทัลจากกระเป๋าเงิน
