Бот-сеть Ebury заразила 400 000 Linux-серверов с 2009 года

Бот-сеть Ebury заразила 400 000 Linux-серверов с 2009 года

Бот-сеть Ebury заразила 400 000 Linux-серверов с 2009 года

За последние пятнадцать лет вредоносная бот-сеть Ebury заразила почти 400 000 Linux-серверов. По информации на конец 2023 года, около 100 тысяч из них все еще остаются под угрозой. Ниже представлены зарегистрированные с 2009 года заражения Ebury, рост которых отчетливо виден.

Объем атак Ebury с течением времени

 

Специалисты ESET на протяжении десяти лет пристально следят за этой финансово мотивированной вредоносной операцией. Каждый раз они предупреждали о значительных обновлениях возможностей полезной нагрузки, как было в 2014 и 2017 годах.

14 мая было опубликовано последнее обновление, и исследователи ESET сообщили, что сформировалось представление о деятельности вредоносной программы за последние 15 лет благодаря действиям правоохранительных органов.

Специалисты отметили, что несмотря на огромные цифры взломов, это количество нужно рассматривать в период целых 15 лет, ведь не все устройства были скомпрометированы одновременно.

Проанализировав атаки Ebury, исследователи пришли к выводу, что целью операторов становятся хостинг-провайдеры и цепочки поставок клиентов, арендующих виртуальные серверы у провайдера-жертвы.

Взлом сервера происходит с помощью украденных учетных данных. Далее вредоносная программа извлекает список входящих/исходящих SSH-соединений из wtmp и файла known_hosts и крадет ключи аутентификации SSH, которые затем используются для попыток входа в другие системы. 

В отчете ESET говорится, что когда файл known_hosts содержит хешированную информацию, операторы Ebury пытаются перебрать или угадать его содержимое. Более половины записей known_hosts (около двух миллионов) имели хешированное имя хоста.

Еще одним способом получения злоумышленниками дальнейшего доступа или повышения привилегий являются известные уязвимости в ПО, работающем на серверах.

Цепь атак Эбери

 

Инфраструктура хостинг-провайдера может быть использована для развертывания Ebury в нескольких контейнерах или виртуальных средах.

На следующем этапе хакеры используют подмену протокола определения адреса (ARP) для перенаправления трафика на подконтрольный им сервер, чтобы перехватить SSH-трафик на целевых серверах в этих дата-центрах.

Вредоносная программа сразу же перехватывает данные, как только пользователь входит на взломанный сервер по SSH.

Тактика нападения 

 

По данным ESET, за 2023 Ebury использовала перехваченные учетные данные как минимум на 200 криптовалютных серверах, включая узлы Bitcoin и Ethereum, для автоматического опустошения кошельков. 

Ebury использует различные способы обогащения. Операторы могут также красть данные кредитных карт, которые используют на платежных сайтах, рассылать спам со взломанных серверов, продавать украденные данные и перенаправлять веб-трафик для получения дохода от рекламы и партнерских программ.

Процессы, в которые внедряется основная полезная нагрузка

 

В своих исследованиях за 2023 год ESET отметила, что злоумышленники внедряют способы уклонения от обнаружения и повышают устойчивость вредоносной программы к блокировкам с помощью новых методов обфускации и новой системы алгоритмов генерации доменов (DGA).

В ESET продемонстрировали модули вредоносных программ Ebury:

  • HelimodProxy: Проксирует сырой трафик и пересылает спам, изменяя модуль Apache mod_dir.so. Данные действия позволяют взломанному серверу выполнять произвольные команды и поддерживать спам-кампании.
  • HelimodRedirect: Перенаправляет HTTP-трафик на сайты, которые находятся под контролем злоумышленников, модифицируя различные модули Apache и nginx, чтобы перенаправить небольшой процент веб-трафика на вредоносные сайты.
  • HelimodSteal: Извлекает конфиденциальную информацию из HTTP POST-запросов, добавляя фильтр ввода для перехвата и кражи данных, отправленных через веб-формы. К ним относятся учетные данные для входа в систему и платежные реквизиты.
  • KernelRedirect: Модифицирует HTTP-трафик на уровне ядра для перенаправления посетителей с помощью модуля ядра Linux, который подключается к Netfilter, изменяя заголовок Location в HTTP-ответах для перенаправления пользователей на вредоносные URL.
  • FrizzySteal: Перехватывает и похищает HTTP-запросы, подключаясь к libcurl, что позволяет ему красть данные из HTTP-запросов, выполняемых взломанным сервером.

Модули вредоносных программ Ebury

 

По информации, полученной в ходе расследования ESET совместно с Национальным подразделением по борьбе с преступлениями в сфере высоких технологий Нидерландов (NHTCU), злоумышленники используют поддельные личности или же берут себе псевдонимы других хакеров, дабы ввести в заблуждение правоохранительные органы.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru