埃伯里殭屍網絡

自2009 年以來，一個名為Ebury 的惡意軟體殭屍網路已滲透到約40 萬台Linux 伺服器，截至2023 年末，仍有超過10 萬台伺服器受到威脅。的最複雜的伺服器端惡意軟體活動之一。

Ebury 背後的參與者從事各種貨幣化活動，例如分發垃圾郵件、重定向 Web 流量和竊取憑證。此外，他們還透過中間人 (MitM) 攻擊參與加密貨幣盜竊，並透過網路流量攔截（通常稱為伺服器端網路竊取的技術）來竊取信用卡。

網路犯罪分子因操作 Ebury 殭屍網路而被捕

Ebury 在十多年前的「Windigo 行動」期間出現，這是一場旨在危害 Linux 伺服器的活動。此操作部署了 Ebury 以及 Cdorked 和 Calfbot 等其他工具來重定向網路流量並發送垃圾郵件。 2017 年 8 月，俄羅斯公民馬克西姆·塞納赫 (Maxim Senakh) 因參與開發和維護 Ebury 殭屍網路而在美國監獄被判處近四年監禁。

據美國司法部稱，塞納赫及其同夥利用 Ebury 殭屍網路操縱網路流量，實施各種點擊詐欺和垃圾郵件計劃。這導致了數百萬美元的詐欺收入。作為認罪的一部分，塞納赫承認透過在網域註冊商設立帳戶來擴展 Ebury 殭屍網路基礎設施來支持犯罪企業，並從由此產生的流量中個人獲利。

Ebury 殭屍網路透過多種不同的媒介感染設備

一項調查顯示，攻擊者在分發Ebury 時採用了多種策略，包括竊取SSH 憑證、撞庫、滲透託管提供者基礎設施、利用控制Web 面板缺陷CVE-2021-45467 等漏洞，以及進行SSH 中間人攻擊（ MitM）攻擊。

此外，據觀察，威脅行為者使用虛假或被盜身分來隱藏其活動。他們破壞了其他惡意行為者使用的基礎設施，部署 Ebury 惡意軟體來實現他們的目標，並迷惑追蹤他們的努力。

例如，攻擊者破壞了負責從 Vidar Stealer 收集資料的伺服器。他們利用透過Vidar Stealer獲得的被盜身分來租用伺服器基礎設施並開展活動，故意誤導執法部門。在另一個案例中，Ebury 被用來破壞Mirai殭屍網路作者之一的系統，在公開發布之前取得程式碼。

攻擊者利用 Ebury 傳遞額外的威脅有效負載

該惡意軟體可作為後門和 SSH 憑證竊賊，使攻擊者能夠引入額外的有效負載，例如 HelimodSteal、HelimodProxy 和 HelimodRedirect，從而擴大其在受感染網路中的影響範圍。 Ebury 確定的最新版本是 1.8.2。

這些工具旨在透過各種方式將受感染的伺服器貨幣化。貨幣化策略包括竊取信用卡資訊、竊取加密貨幣、流量重新導向、垃圾郵件傳播和憑證盜竊。

HelimodSteal、HelimodRedirect 和 HelimodProxy 作為 HTTP 伺服器模組來攔截 HTTP POST 請求、將 HTTP 流量重定向到廣告以及代理垃圾郵件分發流量。該組織還利用名為 KernelRedirect 的核心模組，使用 Netfilter 掛鉤來修改 HTTP 流量並啟用重定向。 HelimodSteal 專門設計用於捕獲提交到線上商店的信用卡數據，充當伺服器端網路瀏覽器，從受感染的伺服器中提取敏感資訊。

攻擊者還利用軟體隱藏並允許惡意流量通過防火牆以及 Perl 腳本，在託管提供者的資料中心內進行大規模中間人攻擊。他們瞄準有價值的資產，從錢包中竊取加密貨幣。