Плохо управляемые Linux SSH-серверы становятся мишенью новой кампании, в рамках которой используются различные варианты вредоносной программы под названием ShellBot.
«ShellBot, также известный как PerlBot, является вредоносным DDoS-ботом, разработанным на языке Perl, и характерно использует протокол IRC для связи с сервером CnC» - сообщается в отчете AhnLab Security Emergency response Center (ASEC).
ShellBot устанавливается на серверы со слабыми учетными данными, но только после того, как атакующие используют вредоносное ПО-сканер для выявления систем, у которых открыт порт SSH 22.
Список известных учетных данных SSH используется для инициирования атаки по словарю для взлома сервера и развертывания полезной нагрузки, после чего он использует протокол Internet Relay Chat (IRC) для связи с удаленным сервером.
Это дает возможность получать команды, которые позволяют ShellBot осуществлять DDoS-атаки и передавать собранную информацию.
ASEC заявила, что выявила три различные версии ShellBot - LiGhT's Modded perlbot v2, DDoS PBot v2.0 и PowerBots (C) GohacK - первые две из них предлагают различные команды DDoS-атак с использованием протоколов HTTP, TCP и UDP.
PowerBots, с другой стороны, обладает более бэкдорными возможностями для предоставления обратного доступа к оболочке и загрузки произвольных файлов со взломанного узла.
Результаты исследования были получены почти через три месяца после того, как ShellBot был использован в атаках на серверы Linux, которые также распространяли криптовалютные майнеры через компилятор сценариев оболочки.
«Если ShellBot установлен, серверы Linux могут быть использованы в качестве DDoS-ботов для DDoS-атак на определенные цели после получения команды от злоумышленника» - заявили в ASEC. «Кроме того, атакующий может использовать различные другие функции бэкдора для установки дополнительного вредоносного ПО или запуска различных типов атак со взломанного сервера».
Это событие произошло после того, как компания Microsoft сообщила о постепенном увеличении числа DDoS-атак на медицинские организации, размещенные в Azure, с 10-20 атак в ноябре 2022 года до 40-60 атак ежедневно в феврале 2023 года.
Источник: https://thehackernews.com
