Ботнет Ebury
З 2009 року ботнет зловмисного програмного забезпечення під назвою Ebury проник на близько 400 000 серверів Linux, станом на кінець 2023 року понад 100 000 серверів залишаються скомпрометованими. Експерти з кібербезпеки визнають цей ботнет однією з найдосконаліших кампаній зі зловмисним програмним забезпеченням на стороні сервера, спрямованих на фінансову вигоду.
Актори, що стоять за Ebury, брали участь у різноманітних видах монетизації, таких як розповсюдження спаму, перенаправлення веб-трафіку та викрадення облікових даних. Крім того, вони беруть участь у крадіжці криптовалюти через атаки Man-in-the-Middle (MitM) і крадіжці кредитних карток через перехоплення мережевого трафіку, метод, який зазвичай називають веб-зніманням на стороні сервера.
Зміст
Кіберзлочинців спіймали на роботі з ботнетом Ebury
Ebury з'явився більше десяти років тому під час операції Windigo, кампанії, спрямованої на компрометацію серверів Linux. Ця операція розгорнула Ebury разом з іншими інструментами, такими як Cdorked і Calfbot, для перенаправлення веб-трафіку та надсилання спаму. У серпні 2017 року росіянин Максим Сенах був засуджений до майже чотирьох років ув'язнення в США за участь у розробці та підтримці ботнету Ebury.
За даними Міністерства юстиції США, Сенах і його партнери використовували ботнет Ebury для маніпулювання інтернет-трафіком для різних схем шахрайства з кліками та спаму. Це призвело до шахрайства на мільйони доларів. У рамках своєї провини Сенах зізнався в підтримці злочинної компанії, створивши облікові записи в реєстраторів доменів для розширення інфраструктури ботнету Ebury, і особисто отримував прибуток від трафіку, який генерується нею.
Ботнет Ebury заражає пристрої через численні різні вектори
Розслідування виявило численні тактики, застосовані зловмисниками для розповсюдження Ebury, зокрема викрадення облікових даних SSH, введення облікових даних, проникнення в інфраструктуру хостинг-провайдера, використання вразливостей, як-от помилка веб-панелі керування CVE-2021-45467, і здійснення SSH «людина посередині» ( MitM) атакує.
Крім того, було помічено, що зловмисники використовують підроблені або викрадені дані для приховування своєї діяльності. Вони скомпрометували інфраструктуру, використовувану іншими зловмисниками, розгорнувши зловмисне програмне забезпечення Ebury для досягнення своїх цілей і заплутавши спроби їх відстеження.
Наприклад, зловмисники скомпрометували сервери, відповідальні за збір даних від Vidar Stealer. Вони використовували викрадені ідентифікаційні дані, отримані через Vidar Stealer , щоб орендувати серверну інфраструктуру та здійснювати діяльність, навмисно вводячи правоохоронні органи в оману. В іншому випадку Ebury використовувався для зламу системи одного з авторів ботнету Mirai , отримавши код до його публічного оприлюднення.
Зловмисники використовували Ebury для доставки додаткових загрозливих корисних навантажень
Зловмисне програмне забезпечення працює як бекдор і викрадає облікові дані SSH, дозволяючи зловмисникам вводити додаткові корисні навантаження, такі як HelimodSteal, HelimodProxy і HelimodRedirect, таким чином розширюючи зону охоплення в скомпрометованих мережах. Остання ідентифікована версія Ebury – 1.8.2.
Ці інструменти спрямовані на монетизацію скомпрометованих серверів за допомогою різних засобів. Стратегії монетизації включають крадіжку інформації про кредитні картки, викрадення криптовалюти, перенаправлення трафіку, розповсюдження спаму та викрадення облікових даних.
HelimodSteal, HelimodRedirect і HelimodProxy функціонують як модулі HTTP-сервера для перехоплення запитів HTTP POST, перенаправлення HTTP-трафіку на рекламу та проксі-трафіку для розповсюдження спаму. Група також використовує модуль ядра під назвою KernelRedirect, використовуючи хук Netfilter для зміни HTTP-трафіку та ввімкнення перенаправлення. HelimodSteal спеціально розроблений для збору даних кредитних карток, надісланих до онлайн-магазинів, діючи як серверний веб-скімер для вилучення цієї конфіденційної інформації із заражених серверів.
Зловмисники також використовують програмне забезпечення для приховування та дозволу зловмисного трафіку через брандмауери разом зі сценаріями Perl для широкомасштабних атак типу "людина посередині" в центрах обробки даних хостинг-провайдерів. Вони націлені на цінні активи, щоб викрасти криптовалюту з гаманців.
