Các tác nhân đe dọa đằng sau ShellBot đang tận dụng các địa chỉ IP được chuyển đổi thành ký hiệu thập lục phân để xâm nhập vào các máy chủ Linux SSH được quản lý kém và triển khai phần mềm độc hại DDoS.
“Quy trình tổng thể vẫn giữ nguyên, nhưng URL tải xuống được kẻ đe dọa sử dụng để cài đặt ShellBot đã thay đổi từ địa chỉ IP thông thường sang giá trị thập lục phân”, Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) cho biết trong một báo cáo mới được công bố hôm nay .
ShellBot, còn được biết đến với cái tên PerlBot, được biết là đã xâm phạm các máy chủ có thông tin xác thực SSH yếu bằng cách tấn công từ điển , với phần mềm độc hại được sử dụng làm đường dẫn để thực hiện các cuộc tấn công DDoS và cung cấp các công cụ khai thác tiền điện tử .
Được phát triển bằng Perl, phần mềm độc hại sử dụng giao thức IRC để liên lạc với máy chủ ra lệnh và kiểm soát (C2).
Nhóm tấn công mới nhất được quan sát liên quan đến ShellBot đã được phát hiện nhằm cài đặt phần mềm độc hại bằng cách sử dụng địa chỉ IP thập lục phân – hxxp://0x2763da4e/ tương ứng với 39.99.218[.]78 – nhằm mục đích trốn tránh các chữ ký phát hiện dựa trên URL .
ASEC cho biết: “Do sử dụng Curl để tải xuống và khả năng hỗ trợ hệ thập lục phân giống như trình duyệt web, ShellBot có thể được tải xuống thành công trên môi trường hệ thống Linux và được thực thi thông qua Perl”.
Sự phát triển này là một dấu hiệu cho thấy ShellBot tiếp tục chứng kiến việc sử dụng ổn định để phát động các cuộc tấn công chống lại các hệ thống Linux.
Với ShellBot có khả năng được sử dụng để cài đặt thêm phần mềm độc hại hoặc khởi động các kiểu tấn công khác nhau từ máy chủ bị xâm nhập, người dùng nên chuyển sang mật khẩu mạnh và thay đổi chúng định kỳ để chống lại các cuộc tấn công từ điển và bạo lực.
Tiết lộ này cũng được đưa ra khi ASEC tiết lộ rằng những kẻ tấn công đang vũ khí hóa các chứng chỉ bất thường với các chuỗi dài bất thường cho các trường Tên chủ đề và Tên nhà phát hành nhằm phân phối phần mềm độc hại đánh cắp thông tin như Lumma Stealer và một biến thể của RedLine Stealer được gọi là RecordBreaker .
ASEC cho biết : “Các loại phần mềm độc hại này được phân phối qua các trang độc hại có thể dễ dàng truy cập thông qua các công cụ tìm kiếm (ngộ độc SEO), gây ra mối đe dọa cho nhiều người dùng không xác định” . “Các trang độc hại này chủ yếu sử dụng các từ khóa liên quan đến các chương trình bất hợp pháp như serial, keygen và crack.”