Компания Flare, специализирующаяся на кибербезопасности, представила отчет о новой операции ботнета под названием SSHStalker. Основной целью этой вредоносной кампании являются системы Linux, функционирующие в устаревших средах. Атака распространяется червеобразным методом, используя сложную техническую архитектуру для массового компрометации серверов. Главной отличительной чертой SSHStalker является использование протокола Internet Relay Chat (IRC) в качестве основного метода для командно-контрольной (C2) инфраструктуры, что позволяет злоумышленникам эффективно управлять зараженными узлами.
Техническая реализация атаки базируется на многоуровневом использовании языков программирования. Для сканирования сети на наличие серверов с открытым SSH (порт 22) используется сканер, написанный на Golang. Основные компоненты бота и низкоуровневые элементы созданы на языке C, в то время как задачи оркестрации и обеспечения персистентности (закрепления в системе) выполняются с помощью Shell-скриптов. Вспомогательные задачи автоматизации и запуск IRC-бота возложены на Python и Perl. Зараженные боты подключаются к серверу UnrealIRCd, заходят в управляющий канал и ожидают команд, что позволяет операторам инициировать атаки типа flood. Одним из ключевых инструментов C2 и удаленного выполнения команд выступает IRC-бот EnergyMech.
Стратегия эксплуатации уязвимостей, применяемая SSHStalker, опирается на обширный каталог эксплойтов, датируемых 2009–2010 годами. Злоумышленники используют 16 различных уязвимостей ядра Linux, характерных для версий 2.6.x. Хотя этот метод малоэффективен против современных стеков технологий, он оказывается разрушительным для «забытой» инфраструктуры. В арсенале атакующих присутствуют конкретные эксплойты для CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 и CVE-2010-3437.
Для сокрытия следов присутствия в системе вредоносное ПО использует специальные программы на C, предназначенные для очистки логов SSH-соединений. В частности, происходит модификация файлов utmp, wtmp и lastlog, что затрудняет обнаружение несанкционированного доступа системными администраторами. Захваченная инфраструктура часто остается в спящем режиме, используясь для подготовки плацдарма, тестирования или стратегического удержания доступа для будущих операций.
Механизм персистентности SSHStalker демонстрирует высокую живучесть. Вредоносное ПО включает компонент «keep-alive», который автоматически перезапускает основной процесс малвари в течение 60 секунд, если он был завершен инструментами безопасности. Это обеспечивает непрерывность работы ботнета даже при попытках его нейтрализации.
Специалисты Flare обнаружили обширный репозиторий инструментов и образцов вредоносного ПО, связанных с этой кампанией. Помимо IRC-ботов (включая вариант на Perl) и руткитов для скрытности, набор инструментов включает майнеры криптовалют. Особое внимание привлекает «Website Grabber» — бинарный файл, запускаемый скриптом на Python, который предназначен для кражи секретов Amazon Web Services (AWS) с целевых веб-сайтов.
Анализ атрибуции указывает на румынское происхождение операторов ботнета. Это подтверждается наличием румынских никнеймов, сленговых паттернов и спецификаций именования внутри IRC-каналов и конфигурационных списков слов. Кроме того, наблюдается сильное совпадение операционных отпечатков с хакерской группой Outlaw, также известной как Dota.
Профиль злоумышленников свидетельствует о том, что они не фокусируются на уязвимостях нулевого дня или новейших руткитах. Вместо этого группа демонстрирует строгую операционную дисциплину в рабочих процессах массовой компрометации. Основной акцент делается на повторном использовании инфраструктуры и обеспечении устойчивости в гетерогенных средах Linux, что позволяет им эффективно монетизировать доступ к устаревшим системам.
Изображение носит иллюстративный характер
Техническая реализация атаки базируется на многоуровневом использовании языков программирования. Для сканирования сети на наличие серверов с открытым SSH (порт 22) используется сканер, написанный на Golang. Основные компоненты бота и низкоуровневые элементы созданы на языке C, в то время как задачи оркестрации и обеспечения персистентности (закрепления в системе) выполняются с помощью Shell-скриптов. Вспомогательные задачи автоматизации и запуск IRC-бота возложены на Python и Perl. Зараженные боты подключаются к серверу UnrealIRCd, заходят в управляющий канал и ожидают команд, что позволяет операторам инициировать атаки типа flood. Одним из ключевых инструментов C2 и удаленного выполнения команд выступает IRC-бот EnergyMech.
Стратегия эксплуатации уязвимостей, применяемая SSHStalker, опирается на обширный каталог эксплойтов, датируемых 2009–2010 годами. Злоумышленники используют 16 различных уязвимостей ядра Linux, характерных для версий 2.6.x. Хотя этот метод малоэффективен против современных стеков технологий, он оказывается разрушительным для «забытой» инфраструктуры. В арсенале атакующих присутствуют конкретные эксплойты для CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 и CVE-2010-3437.
Для сокрытия следов присутствия в системе вредоносное ПО использует специальные программы на C, предназначенные для очистки логов SSH-соединений. В частности, происходит модификация файлов utmp, wtmp и lastlog, что затрудняет обнаружение несанкционированного доступа системными администраторами. Захваченная инфраструктура часто остается в спящем режиме, используясь для подготовки плацдарма, тестирования или стратегического удержания доступа для будущих операций.
Механизм персистентности SSHStalker демонстрирует высокую живучесть. Вредоносное ПО включает компонент «keep-alive», который автоматически перезапускает основной процесс малвари в течение 60 секунд, если он был завершен инструментами безопасности. Это обеспечивает непрерывность работы ботнета даже при попытках его нейтрализации.
Специалисты Flare обнаружили обширный репозиторий инструментов и образцов вредоносного ПО, связанных с этой кампанией. Помимо IRC-ботов (включая вариант на Perl) и руткитов для скрытности, набор инструментов включает майнеры криптовалют. Особое внимание привлекает «Website Grabber» — бинарный файл, запускаемый скриптом на Python, который предназначен для кражи секретов Amazon Web Services (AWS) с целевых веб-сайтов.
Анализ атрибуции указывает на румынское происхождение операторов ботнета. Это подтверждается наличием румынских никнеймов, сленговых паттернов и спецификаций именования внутри IRC-каналов и конфигурационных списков слов. Кроме того, наблюдается сильное совпадение операционных отпечатков с хакерской группой Outlaw, также известной как Dota.
Профиль злоумышленников свидетельствует о том, что они не фокусируются на уязвимостях нулевого дня или новейших руткитах. Вместо этого группа демонстрирует строгую операционную дисциплину в рабочих процессах массовой компрометации. Основной акцент делается на повторном использовании инфраструктуры и обеспечении устойчивости в гетерогенных средах Linux, что позволяет им эффективно монетизировать доступ к устаревшим системам.
