Почему ботнет SSHStalker успешно атакует Linux уязвимостями десятилетней давности?

Компания Flare, специализирующаяся на кибербезопасности, представила отчет о новой операции ботнета под названием SSHStalker. Основной целью этой вредоносной кампании являются системы Linux, функционирующие в устаревших средах. Атака распространяется червеобразным методом, используя сложную техническую архитектуру для массового компрометации серверов. Главной отличительной чертой SSHStalker является использование протокола Internet Relay Chat (IRC) в качестве основного метода для командно-контрольной (C2) инфраструктуры, что позволяет злоумышленникам эффективно управлять зараженными узлами.
Почему ботнет SSHStalker успешно атакует Linux уязвимостями десятилетней давности?
Изображение носит иллюстративный характер

Техническая реализация атаки базируется на многоуровневом использовании языков программирования. Для сканирования сети на наличие серверов с открытым SSH (порт 22) используется сканер, написанный на Golang. Основные компоненты бота и низкоуровневые элементы созданы на языке C, в то время как задачи оркестрации и обеспечения персистентности (закрепления в системе) выполняются с помощью Shell-скриптов. Вспомогательные задачи автоматизации и запуск IRC-бота возложены на Python и Perl. Зараженные боты подключаются к серверу UnrealIRCd, заходят в управляющий канал и ожидают команд, что позволяет операторам инициировать атаки типа flood. Одним из ключевых инструментов C2 и удаленного выполнения команд выступает IRC-бот EnergyMech.

Стратегия эксплуатации уязвимостей, применяемая SSHStalker, опирается на обширный каталог эксплойтов, датируемых 2009–2010 годами. Злоумышленники используют 16 различных уязвимостей ядра Linux, характерных для версий 2.6.x. Хотя этот метод малоэффективен против современных стеков технологий, он оказывается разрушительным для «забытой» инфраструктуры. В арсенале атакующих присутствуют конкретные эксплойты для CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 и CVE-2010-3437.

Для сокрытия следов присутствия в системе вредоносное ПО использует специальные программы на C, предназначенные для очистки логов SSH-соединений. В частности, происходит модификация файлов utmp, wtmp и lastlog, что затрудняет обнаружение несанкционированного доступа системными администраторами. Захваченная инфраструктура часто остается в спящем режиме, используясь для подготовки плацдарма, тестирования или стратегического удержания доступа для будущих операций.

Механизм персистентности SSHStalker демонстрирует высокую живучесть. Вредоносное ПО включает компонент «keep-alive», который автоматически перезапускает основной процесс малвари в течение 60 секунд, если он был завершен инструментами безопасности. Это обеспечивает непрерывность работы ботнета даже при попытках его нейтрализации.

Специалисты Flare обнаружили обширный репозиторий инструментов и образцов вредоносного ПО, связанных с этой кампанией. Помимо IRC-ботов (включая вариант на Perl) и руткитов для скрытности, набор инструментов включает майнеры криптовалют. Особое внимание привлекает «Website Grabber» — бинарный файл, запускаемый скриптом на Python, который предназначен для кражи секретов Amazon Web Services (AWS) с целевых веб-сайтов.

Анализ атрибуции указывает на румынское происхождение операторов ботнета. Это подтверждается наличием румынских никнеймов, сленговых паттернов и спецификаций именования внутри IRC-каналов и конфигурационных списков слов. Кроме того, наблюдается сильное совпадение операционных отпечатков с хакерской группой Outlaw, также известной как Dota.

Профиль злоумышленников свидетельствует о том, что они не фокусируются на уязвимостях нулевого дня или новейших руткитах. Вместо этого группа демонстрирует строгую операционную дисциплину в рабочих процессах массовой компрометации. Основной акцент делается на повторном использовании инфраструктуры и обеспечении устойчивости в гетерогенных средах Linux, что позволяет им эффективно монетизировать доступ к устаревшим системам.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка