Ebury 僵尸网络
一个名为 Ebury 的恶意软件僵尸网络自 2009 年以来已入侵约 400,000 台 Linux 服务器,截至 2023 年底,仍有超过 100,000 台服务器受到攻击。网络安全专家认为,该僵尸网络是最复杂的服务器端恶意软件活动之一,旨在获取经济利益。
Ebury 背后的参与者从事各种货币化活动,例如分发垃圾邮件、重定向网络流量和窃取凭据。此外,他们还通过中间人 (MitM) 攻击窃取加密货币,并通过网络流量拦截窃取信用卡,这种技术通常称为服务器端网络窃取。
目录
网络犯罪分子被发现操作 Ebury 僵尸网络
Ebury 出现在十多年前的 Windigo 行动中,该行动旨在入侵 Linux 服务器。该行动部署了 Ebury 以及 Cdorked 和 Calfbot 等其他工具来重定向网络流量并发送垃圾邮件。2017 年 8 月,俄罗斯国民 Maxim Senakh 因参与开发和维护 Ebury 僵尸网络而被判处近四年监禁。
据美国司法部称,Senakh 及其同伙利用 Ebury 僵尸网络操纵互联网流量,实施各种点击欺诈和垃圾邮件计划。这导致欺诈收入高达数百万美元。作为认罪的一部分,Senakh 承认通过在域名注册商处设立账户来扩大 Ebury 僵尸网络基础设施,支持犯罪企业,并从其产生的流量中获利。
Ebury 僵尸网络通过多种不同的媒介感染设备
调查显示,攻击者采用了多种策略来传播 Ebury,包括窃取 SSH 凭据、凭据填充、渗透托管提供商基础设施、利用控制 Web 面板漏洞 CVE-2021-45467 等漏洞以及进行 SSH 中间人 (MitM) 攻击。
此外,威胁行为者还被发现使用虚假或被盗身份来掩盖其活动。他们入侵了其他恶意行为者使用的基础设施,部署了 Ebury 恶意软件来实现其目标,并扰乱了追踪他们的努力。
例如,攻击者入侵了负责收集 Vidar Stealer 数据的服务器。他们利用通过Vidar Stealer窃取的身份租用服务器基础设施并开展活动,故意误导执法部门。在另一个案例中,攻击者利用 Ebury 入侵了Mirai僵尸网络作者之一的系统,在代码公开发布之前获取了代码。
攻击者利用 Ebury 传递更多威胁性负载
该恶意软件充当后门和 SSH 凭证窃取者,使攻击者能够引入其他有效载荷,如 HelimodSteal、HelimodProxy 和 HelimodRedirect,从而扩大其在受感染网络中的覆盖范围。已识别的 Ebury 最新版本为 1.8.2。
这些工具旨在通过各种手段将受感染的服务器货币化。货币化策略包括窃取信用卡信息、盗取加密货币、流量重定向、垃圾邮件传播和凭证盗窃。
HelimodSteal、HelimodRedirect 和 HelimodProxy 充当 HTTP 服务器模块,用于拦截 HTTP POST 请求、将 HTTP 流量重定向到广告以及代理流量以分发垃圾邮件。该组织还利用名为 KernelRedirect 的内核模块,使用 Netfilter 钩子修改 HTTP 流量并启用重定向。HelimodSteal 专门用于捕获提交给在线商店的信用卡数据,充当服务器端网络浏览器,从受感染的服务器中提取这些敏感信息。
攻击者还利用软件隐藏并允许恶意流量通过防火墙,以及使用 Perl 脚本,在托管服务提供商的数据中心内进行大规模中间人攻击。他们瞄准有价值的资产,从钱包中窃取加密货币。
