-
30/08/2016
-
319
-
448 bài viết
400.000 máy chủ Linux bị tấn công bởi Botnet Ebury
Theo báo cáo của ESET, Botnet Ebury trên Linux đã mở rộng không ngừng trong thập kỷ qua, với khoảng 100.000 hệ thống bị nhiễm vào cuối năm 2023.
Ebury, một backdoor OpenSSH và công cụ đánh cắp thông tin đăng nhập, liên tục được cập nhật và ước tính đã lây nhiễm hơn 400.000 máy chủ từ năm 2009, lạm dụng chúng để kiếm lợi tài chính, theo một báo cáo mới của ESET.
“Có sự thay đổi liên tục của các máy chủ mới bị xâm nhập trong khi những máy chủ khác được dọn dẹp hoặc ngừng hoạt động” ESET ghi chú, giải thích rằng botnet này đạt đỉnh với 110.000 hệ thống bị bắt trong năm 2023, sau khi xâm nhập một nhà cung cấp dịch vụ lưu trữ lớn và lây nhiễm khoảng 70.000 máy chủ.
Thực tế, nhiều hệ thống bị nhiễm là các máy chủ của các nhà cung cấp dịch vụ lưu trữ, điều này cho phép kẻ tấn công chặn lưu lượng SSH của các mục tiêu quan trọng và chuyển hướng nó đến một máy chủ do kẻ tấn công kiểm soát để thu thập thông tin đăng nhập.
“Gần như tất cả các hệ thống bị xâm nhập đều là máy chủ, không phải thiết bị người dùng cuối. Các máy chủ giúp vận hành internet bằng cách lưu trữ các trang web, hoạt động như các máy chủ tên quyền lực, thực hiện các giao dịch tài chính, v.v.” ESET chỉ ra.
Ngoài ra, những kẻ điều hành phần mềm độc hại đã nhắm mục tiêu vào các nút thoát Tor cùng với các nút Bitcoin và Ethereum để đánh cắp ví tiền điện tử được lưu trữ trên chúng, cũng như nghe lén lưu lượng mạng để đánh cắp dữ liệu thẻ tín dụng.
Theo ESET, các kẻ điều hành botnet hoạt động rất tích cực, sử dụng các lỗ hổng zero-day trong phần mềm quản trị để xâm nhập hàng loạt máy chủ, nhắm vào cơ sở hạ tầng của các tác nhân đe dọa khác để đánh cắp dữ liệu lấy cắp từ nạn nhân của họ và sử dụng phần mềm độc hại mới để chuyển hướng lưu lượng web.
Ebury được triển khai trên các hệ thống bị xâm nhập với quyền root, sử dụng các kỹ thuật như credential stuffing để xâm nhập các máy chủ, truy cập vào hypervisors để lây nhiễm tất cả các hệ thống con, xâm nhập vào các nhà cung cấp dịch vụ lưu trữ để lây nhiễm tất cả các máy chủ thuê và tấn công SSH adversary-in-the-middle (AitM).
Những kẻ điều hành phần mềm độc hại cũng được thấy khai thác các lỗi zero-day, chẳng hạn như CVE-2021-45467, một lỗ hổng bao gồm tệp tin không xác thực trong bảng điều khiển web Control Web Panel (CWP) và CVE-2016-5195 (Dirty COW), một điều kiện trong kernel Linux dẫn đến leo thang đặc quyền.
Giữa năm 2009 và 2011, Ebury đã được cài đặt trên ít nhất bốn máy chủ thuộc Linux Foundation, cung cấp cho các kẻ điều hành của nó quyền truy cập vào các tệp tin chứa hàng trăm thông tin đăng nhập.
Hơn nữa, những kẻ điều hành botnet đã sử dụng một script Perl để phát hiện các công cụ đánh cắp thông tin đăng nhập OpenSSH khác và thu thập thông tin từ chúng. Chúng cũng xâm nhập vào cơ sở hạ tầng được sử dụng bởi các công cụ đánh cắp khác, chẳng hạn như các máy chủ được sử dụng bởi Vidar Stealer và hệ thống của một tác giả botnet Mirai.
Để duy trì, phần mềm độc hại chiếm đoạt một thư viện để được thực thi khi một khách hàng hoặc máy chủ OpenSSH được khởi chạy hoặc thay thế các tệp nhị phân OpenSSH gốc bằng các phiên bản có backdoor. Để ẩn sự hiện diện của nó, Ebury chiếm đoạt tất cả các phiên SSH.
Ebury lưu trữ thông tin trạng thái, cấu hình và thông tin đăng nhập thu thập được trong bộ nhớ và các phiên bản gần đây đã được thấy tiêm FrizzySteal vào libcurl để lấy cắp các yêu cầu HTTP POST được thực hiện bởi các ứng dụng sử dụng thư viện này được tiêm vào các shell khi kết nối qua một máy chủ OpenSSH bị xâm nhập.
Sau khi xâm nhập vào một máy chủ, các kẻ điều hành botnet kết nối với nó định kỳ để lấy cắp thông tin đăng nhập đã thu thập. Chúng cũng được thấy sử dụng các script để tự động hóa các chức năng như thu thập các khóa riêng SSH mới và danh sách các dịch vụ đang chạy.
Các tội phạm mạng cũng đã được thấy triển khai phần mềm độc hại như HelimodSteal và HelimodRedirect để đánh cắp các yêu cầu HTTP hoặc chuyển hướng chúng.
Hoạt động gần đây của Ebury đã cho thấy sự thay đổi trong các chiến thuật kiếm tiền, bao gồm cả việc đánh cắp tiền điện tử và dữ liệu thẻ tín dụng, gửi thư rác và đánh cắp thông tin đăng nhập. Để làm điều đó, các kẻ điều hành đã sử dụng các mô-đun Apache cụ thể, một mô-đun kernel, các công cụ để ẩn lưu lượng qua tường lửa và các script để thực hiện các cuộc tấn công AitM.
Theo ESET, các kẻ điều hành Ebury đã thực hiện các cuộc tấn công AitM chống lại ít nhất 200 mục tiêu trên 75 hệ thống tự trị (AS) ở 34 quốc gia, bao gồm các nút Bitcoin và Ethereum có thể truy cập.
Được phát hiện vào năm 2014 khi có 25.000 hệ thống bị nhiễm, botnet Ebury đã sống sót qua một lần bị tiêu diệt và Maxim Senakh đã bị xử phạt vì tham gia trong hoạt động này.Ebury, một backdoor OpenSSH và công cụ đánh cắp thông tin đăng nhập, liên tục được cập nhật và ước tính đã lây nhiễm hơn 400.000 máy chủ từ năm 2009, lạm dụng chúng để kiếm lợi tài chính, theo một báo cáo mới của ESET.
“Có sự thay đổi liên tục của các máy chủ mới bị xâm nhập trong khi những máy chủ khác được dọn dẹp hoặc ngừng hoạt động” ESET ghi chú, giải thích rằng botnet này đạt đỉnh với 110.000 hệ thống bị bắt trong năm 2023, sau khi xâm nhập một nhà cung cấp dịch vụ lưu trữ lớn và lây nhiễm khoảng 70.000 máy chủ.
Thực tế, nhiều hệ thống bị nhiễm là các máy chủ của các nhà cung cấp dịch vụ lưu trữ, điều này cho phép kẻ tấn công chặn lưu lượng SSH của các mục tiêu quan trọng và chuyển hướng nó đến một máy chủ do kẻ tấn công kiểm soát để thu thập thông tin đăng nhập.
“Gần như tất cả các hệ thống bị xâm nhập đều là máy chủ, không phải thiết bị người dùng cuối. Các máy chủ giúp vận hành internet bằng cách lưu trữ các trang web, hoạt động như các máy chủ tên quyền lực, thực hiện các giao dịch tài chính, v.v.” ESET chỉ ra.
Ngoài ra, những kẻ điều hành phần mềm độc hại đã nhắm mục tiêu vào các nút thoát Tor cùng với các nút Bitcoin và Ethereum để đánh cắp ví tiền điện tử được lưu trữ trên chúng, cũng như nghe lén lưu lượng mạng để đánh cắp dữ liệu thẻ tín dụng.
Ebury được triển khai trên các hệ thống bị xâm nhập với quyền root, sử dụng các kỹ thuật như credential stuffing để xâm nhập các máy chủ, truy cập vào hypervisors để lây nhiễm tất cả các hệ thống con, xâm nhập vào các nhà cung cấp dịch vụ lưu trữ để lây nhiễm tất cả các máy chủ thuê và tấn công SSH adversary-in-the-middle (AitM).
Những kẻ điều hành phần mềm độc hại cũng được thấy khai thác các lỗi zero-day, chẳng hạn như CVE-2021-45467, một lỗ hổng bao gồm tệp tin không xác thực trong bảng điều khiển web Control Web Panel (CWP) và CVE-2016-5195 (Dirty COW), một điều kiện trong kernel Linux dẫn đến leo thang đặc quyền.
Giữa năm 2009 và 2011, Ebury đã được cài đặt trên ít nhất bốn máy chủ thuộc Linux Foundation, cung cấp cho các kẻ điều hành của nó quyền truy cập vào các tệp tin chứa hàng trăm thông tin đăng nhập.
Hơn nữa, những kẻ điều hành botnet đã sử dụng một script Perl để phát hiện các công cụ đánh cắp thông tin đăng nhập OpenSSH khác và thu thập thông tin từ chúng. Chúng cũng xâm nhập vào cơ sở hạ tầng được sử dụng bởi các công cụ đánh cắp khác, chẳng hạn như các máy chủ được sử dụng bởi Vidar Stealer và hệ thống của một tác giả botnet Mirai.
Để duy trì, phần mềm độc hại chiếm đoạt một thư viện để được thực thi khi một khách hàng hoặc máy chủ OpenSSH được khởi chạy hoặc thay thế các tệp nhị phân OpenSSH gốc bằng các phiên bản có backdoor. Để ẩn sự hiện diện của nó, Ebury chiếm đoạt tất cả các phiên SSH.
Ebury lưu trữ thông tin trạng thái, cấu hình và thông tin đăng nhập thu thập được trong bộ nhớ và các phiên bản gần đây đã được thấy tiêm FrizzySteal vào libcurl để lấy cắp các yêu cầu HTTP POST được thực hiện bởi các ứng dụng sử dụng thư viện này được tiêm vào các shell khi kết nối qua một máy chủ OpenSSH bị xâm nhập.
Sau khi xâm nhập vào một máy chủ, các kẻ điều hành botnet kết nối với nó định kỳ để lấy cắp thông tin đăng nhập đã thu thập. Chúng cũng được thấy sử dụng các script để tự động hóa các chức năng như thu thập các khóa riêng SSH mới và danh sách các dịch vụ đang chạy.
Các tội phạm mạng cũng đã được thấy triển khai phần mềm độc hại như HelimodSteal và HelimodRedirect để đánh cắp các yêu cầu HTTP hoặc chuyển hướng chúng.
Hoạt động gần đây của Ebury đã cho thấy sự thay đổi trong các chiến thuật kiếm tiền, bao gồm cả việc đánh cắp tiền điện tử và dữ liệu thẻ tín dụng, gửi thư rác và đánh cắp thông tin đăng nhập. Để làm điều đó, các kẻ điều hành đã sử dụng các mô-đun Apache cụ thể, một mô-đun kernel, các công cụ để ẩn lưu lượng qua tường lửa và các script để thực hiện các cuộc tấn công AitM.
Theo ESET, các kẻ điều hành Ebury đã thực hiện các cuộc tấn công AitM chống lại ít nhất 200 mục tiêu trên 75 hệ thống tự trị (AS) ở 34 quốc gia, bao gồm các nút Bitcoin và Ethereum có thể truy cập.
Chỉnh sửa lần cuối bởi người điều hành: