Ebury Botnet
Isang malware botnet na pinangalanang Ebury ang nakalusot sa humigit-kumulang 400,000 Linux server mula noong 2009, na may higit sa 100,000 server na nananatiling nakompromiso noong huling bahagi ng 2023. Ang botnet na ito ay kinikilala ng mga eksperto sa cybersecurity bilang isa sa mga pinaka-sopistikadong server-side na malware campaign na naglalayong makakuha ng pinansyal.
Ang mga aktor sa likod ng Ebury ay nakikibahagi sa iba't ibang aktibidad sa monetization, tulad ng pamamahagi ng spam, pag-redirect ng trapiko sa Web, at pagnanakaw ng mga kredensyal. Bukod pa rito, sangkot sila sa pagnanakaw ng cryptocurrency sa pamamagitan ng mga pag-atake ng Man-in-the-Middle (MitM) at pagnanakaw ng credit card sa pamamagitan ng interception ng trapiko sa network, isang pamamaraan na karaniwang tinutukoy bilang server-side web skimming.
Talaan ng mga Nilalaman
Ang mga Cybercriminal ay Nahuli sa Pagpapatakbo ng Ebury Botnet
Ang Ebury ay lumitaw mahigit sampung taon na ang nakalilipas sa panahon ng Operation Windigo, isang kampanya na naglalayong ikompromiso ang mga server ng Linux. Ang operasyong ito ay nag-deploy ng Ebury kasama ng iba pang mga tool tulad ng Cdorked at Calfbot upang i-redirect ang trapiko sa web at magpadala ng spam. Noong Agosto 2017, si Maxim Senakh, isang Russian national, ay sinentensiyahan ng halos apat na taon sa isang bilangguan sa US dahil sa kanyang pagkakasangkot sa pagbuo at pagpapanatili ng Ebury botnet.
Ginamit ni Senakh at ng kanyang mga kasama ang botnet ng Ebury upang manipulahin ang trapiko sa internet para sa iba't ibang mga scheme ng click-fraud at spam email, ayon sa US Justice Department. Nagresulta ito sa mapanlinlang na kita na nagkakahalaga ng milyun-milyong dolyar. Bilang bahagi ng kanyang pakiusap, inamin ni Senakh ang pagsuporta sa kriminal na negosyo sa pamamagitan ng pag-set up ng mga account sa mga registrar ng domain upang palawakin ang imprastraktura ng botnet ng Ebury at personal na nakinabang mula sa trapikong nabuo nito.
Ang Ebury Botnet Infected Device sa pamamagitan ng Maraming Iba't ibang Vector
Ang isang pagsisiyasat ay nagsiwalat ng maraming taktika na ginagamit ng mga umaatake upang ipamahagi ang Ebury, kabilang ang pagnanakaw ng mga kredensyal ng SSH, pagpupuno ng kredensyal, paglusot sa imprastraktura ng provider ng hosting, pagsasamantala sa mga kahinaan tulad ng Control Web Panel flaw CVE-2021-45467, at pagsasagawa ng SSH man-in-the-middle ( MitM) pag-atake.
Bukod pa rito, ang mga aktor ng pagbabanta ay naobserbahan na gumagamit ng mga pekeng o ninakaw na pagkakakilanlan upang itago ang kanilang mga aktibidad. Nakompromiso nila ang imprastraktura na ginagamit ng iba pang malisyosong aktor, na nagde-deploy ng Ebury malware upang makamit ang kanilang mga layunin at malito ang mga pagsisikap na masubaybayan ang mga ito.
Halimbawa, nakompromiso ng mga umaatake ang mga server na responsable sa pagkolekta ng data mula sa Vidar Stealer. Gumamit sila ng mga nakaw na pagkakakilanlan na nakuha sa pamamagitan ng Vidar Stealer upang magrenta ng imprastraktura ng server at magsagawa ng mga aktibidad, na sadyang manlinlang sa pagpapatupad ng batas. Sa isa pang kaso, ginamit ang Ebury upang labagin ang sistema ng isa sa mga may-akda ng Mirai botnet, na nakuha ang code bago ang pampublikong paglabas nito.
Ginamit ng mga Attacker ang Ebury para Maghatid ng Karagdagang Mga Nagbabantang Payload
Gumagana ang malware bilang backdoor at SSH credential thief, na nagbibigay-daan sa mga attacker na magpakilala ng mga karagdagang payload tulad ng HelimodSteal, HelimodProxy, at HelimodRedirect, at sa gayon ay napapalawak ang kanilang abot sa loob ng mga nakompromisong network. Ang pinakahuling bersyon ng Ebury na natukoy ay 1.8.2.
Ang mga tool na ito ay nakatuon sa pagkakitaan ang mga nakompromisong server sa pamamagitan ng iba't ibang paraan. Kasama sa mga diskarte sa monetization ang pagnanakaw ng impormasyon ng credit card, pagnanakaw ng cryptocurrency, pag-redirect ng trapiko, pagpapakalat ng spam, at pagnanakaw ng kredensyal.
Ang HelimodSteal, HelimodRedirect, at HelimodProxy ay gumaganap bilang mga module ng HTTP server upang harangin ang mga kahilingan sa HTTP POST, i-redirect ang trapiko ng HTTP sa mga advertisement, at trapiko ng proxy para sa pamamahagi ng spam. Gumagamit din ang grupo ng kernel module na pinangalanang KernelRedirect, na gumagamit ng Netfilter hook upang baguhin ang trapiko ng HTTP at paganahin ang pag-redirect. Ang HelimodSteal ay partikular na idinisenyo upang makuha ang data ng credit card na isinumite sa mga online na tindahan, na kumikilos bilang isang server-side web skimmer upang kunin ang sensitibong impormasyong ito mula sa mga nahawaang server.
Ginagamit din ng mga umaatake ang software upang itago at pahintulutan ang malisyosong trapiko sa pamamagitan ng mga firewall, kasama ang mga Perl script, para sa malakihang man-in-the-middle na pag-atake sa loob ng mga data center ng mga nagho-host na provider. Tina-target nila ang mahahalagang asset para magnakaw ng cryptocurrency mula sa mga wallet.
