23/03/23
Неправильно настроенные серверы Linux SSH стали мишенью в рамках новой кампании по развертыванию различных вариантов вредоносного ПО под названием ShellBot.
«ShellBot, также известный как PerlBot, представляет собой ботнет, разработанный на языке программирования Perl и использующий протокол IRC для связи с C2-сервером», — говорится в недавнем отчёте Центра экстренного реагирования AhnLab Security ( ASEC ).
ShellBot устанавливается на серверы со слабыми учётными данными, но только после того, как злоумышленники используют вредоносные программы-сканеры для идентификации систем с открытым SSH-портом 22 (используемый по умолчанию порт).
Список известных учётных данных SSH используется для инициирования атаки по словарю (метод, известный как «брутфорс») с целью взлома сервера и развертывания полезной нагрузки. После чего используется протокол Internet Relay Chat (IRC) для связи с удалённым C2-сервером . ShellBot получает от сервера команды, которые позволяют вредоносу выполнять DDoS-атаки и эксфильтровать собранную информацию.
ASEC заявила, что идентифицировала три разные версии ShellBot:
- LiGhT Modded perlbot v2;
- DDoS PBot v2.0;
- PowerBots (C) GohacK.
Первые две версии предлагают различные команды для выполнения DDoS-атак с использованием протоколов HTTP, TCP и UDP. PowerBots имеет больше возможностей, роднящих его с полноценным бэкдором. Вредонос может предоставлять обратный доступ к оболочке и скачивать с целевого устройства любые файлы.
Три месяца назад специалисты ASEC уже наблюдали за атаками ShellBot, направленными на серверы Linux, передает Securitylab. Целью этих атак было распространение майнеров криптовалюты через компилятор сценариев оболочки.
«После установки ShellBot на целевой сервер Linux, скомпрометированная машина может использоваться для выполнения DDoS-атак. Кроме того, злоумышленник может использовать и другие функции бэкдора для установки дополнительных вредоносных программ или запуска различных типов атак», — сообщили специалисты ASEC.
