Phần mềm độc hại botnet Ebury xâm phạm 400.000 máy chủ Linux trong 14 năm

 

 Một mạng botnet phần mềm độc hại có tên Ebury ước tính đã xâm nhập 400.000 máy chủ Linux kể từ năm 2009, trong đó hơn 100.000 máy chủ vẫn bị xâm nhập tính đến cuối năm 2023.

Những phát hiện này đến từ công ty an ninh mạng ESET của Slovakia, mô tả đây là một trong những chiến dịch phần mềm độc hại phía máy chủ tiên tiến nhất để thu lợi tài chính.

Ebury lần đầu tiên được ghi nhận cách đây hơn một thập kỷ như là một phần của chiến dịch có tên mã là Chiến dịch Windigo nhắm mục tiêu vào các máy chủ Linux để triển khai phần mềm độc hại, cùng với các cửa hậu và tập lệnh khác như Cdorked và Calfbot để chuyển hướng lưu lượng truy cập web và gửi thư rác, tương ứng.

Sau đó, vào tháng 8 năm 2017, một công dân Nga tên là Maxim Senakh đã bị kết án gần bốn năm tù ở Mỹ vì vai trò của anh ta trong việc phát triển và bảo trì phần mềm độc hại botnet.

Cuộc điều tra của ESET đã phát hiện ra nhiều cách tiếp cận khác nhau mà những kẻ tấn công sử dụng để cung cấp Ebury, bao gồm các phương pháp như đánh cắp thông tin đăng nhập SSH, nhồi nhét thông tin xác thực, xâm nhập vào cơ sở hạ tầng của nhà cung cấp dịch vụ lưu trữ, khai thác lỗ hổng trong Bảng điều khiển web (ví dụ: CVE-2021-45467) và các cuộc tấn công SSH đối thủ ở giữa (AitM).

Các tác nhân đe dọa cũng đã được quan sát thấy sử dụng danh tính giả hoặc bị đánh cắp để che dấu vết của họ, chưa kể đến việc xâm phạm cơ sở hạ tầng được sử dụng bởi các thủ phạm khác với phần mềm độc hại để đáp ứng mục tiêu của họ và gây nhầm lẫn cho các nỗ lực phân bổ.

Trong một trường hợp khác, Ebury được cho là đã được sử dụng để vi phạm một trong những hệ thống của tác giả botnet Mirai và đánh cắp mã trước khi nó được công khai.

Phần mềm độc hại hoạt động như một cửa hậu bên trong trình nền OpenSSH và trình đánh cắp thông tin xác thực, cung cấp cho kẻ tấn công khả năng triển khai các tải trọng bổ sung như HelimodSteal, HelimodRedirect và HelimodProxy và mở rộng sự hiện diện của chúng trong một mạng bị xâm nhập. Phiên bản mới nhất của Ebury được biết đến cho đến nay là 1.8.2.

Các tạo tác Ebury được cập nhật giới thiệu các kỹ thuật xáo trộn mới, thuật toán tạo miền (DGA) và kỹ thuật để che giấu tốt hơn sự hiện diện của nó bằng cách hoạt động như một rootkit vùng đất người dùng khi được tiêm vào bên trong vỏ của các phiên SSH.

HelimodSteal, HelimodRedirect và HelimodProxy là tất cả các mô-đun máy chủ HTTP Apache được sử dụng để chặn các yêu cầu HTTP POST được thực hiện đến máy chủ web, chuyển hướng các yêu cầu HTTP đến quảng cáo và ủy quyền lưu lượng truy cập để gửi thư rác. 

Cũng được sử dụng là phần mềm để ẩn và cho phép lưu lượng độc hại thông qua tường lửa, cũng như các tập lệnh Perl để thực hiện các cuộc tấn công AitM quy mô lớn trong các trung tâm dữ liệu của nhà cung cấp dịch vụ lưu trữ để vi phạm các mục tiêu có giá trị và đánh cắp tiền điện tử từ ví được lưu trữ trên các máy chủ đó.

Có tới 200 máy chủ trên hơn 75 mạng ở 34 quốc gia khác nhau được cho là đã bị nhắm mục tiêu theo cách này trong khoảng thời gian từ tháng 2/2022 đến tháng 5/2023.

HelimodSteal cũng được thiết kế để thu thập dữ liệu thẻ tín dụng được gửi bởi nạn nhân đến cửa hàng trực tuyến, hiệu quả như một skimmer web phía máy chủ để trích xuất thông tin nhận được bởi máy chủ bị nhiễm.

Trong một chuỗi sự kiện thay thế, các chi tiết tài chính có thể được lấy bằng Ebury hoặc FrizzySteal, một thư viện chia sẻ độc hại được tiêm vào libcurl và có thể trích xuất các yêu cầu được thực hiện bởi máy chủ bị xâm nhập đến các máy chủ HTTP bên ngoài, chẳng hạn như bộ xử lý thanh toán.

Mới hơn Cũ hơn