03/07/23
Исследователи компании Akamai сообщают о хакерах, желающих заработать на чужом трафике. Они ведут активную кампанию по взлому уязвимых SSH-серверов и подключению их к своей сети прокси-узлов. Это передает Securitylab.
«Это активная кампания, в которой злоумышленник использует SSH для удалённого доступа, запуская вредоносные скрипты, которые незаметно подключают серверы жертв к одноранговой (P2P) прокси-сети, такой как Peer2Profit или Honeygain», — сообщил Аллен Вест, исследователь компании Akamai.
В отличие от криптоджекинга, при котором ресурсы заражённой системы используются для незаконной добычи криптовалюты, проксиджекинг позволяет злоумышленникам задействовать неиспользуемую пропускную способность жертвы для скрытого запуска различных сервисов в качестве P2P-узла.
Это имеет двойную выгоду — не только позволяет атакующему монетизировать дополнительный трафик со значительно меньшей нагрузкой на ресурсы жертвы, но и существенно снижает вероятность обнаружения.
Что ещё хуже, анонимность, предоставляемая прокси-сервисами, может быть мощным оружием в том смысле, что может быть злоупотреблена хакерами для сокрытия источника своих атак, маршрутизируя весь трафик через промежуточные узлы.
Специалисты Akamai, которые обнаружили данную кампанию 8 июня 2023 года, сообщили, что она направлена на взлом уязвимых SSH-серверов и развёртывание обфусцированного скрипта Bash, который, в свою очередь, способен получать необходимые зависимости с заражённого веб-сервера, включая инструмент командной строки «curl» под видом CSS-файла («csdark.css»).
Скрытный скрипт перед запуском также активно ищет и завершает конкурирующие экземпляры подобных вредоносов, которые делятся пропускной способностью жертвы ради прибыли.
Дальнейшее исследование веб-сервера криптопреступников показало, что он также используется для размещения майнера криптовалюты, что свидетельствует о том, что злоумышленники активно занимаются как криптоджекингом, так и проксиджекингом.
Хотя программное обеспечение для обеспечения прокси-соединений само по себе не является злонамеренным, исследователи Akamai отметили, что «некоторые из этих сервисов не проверяют должным образом источник IP-адресов в сети», что подвергает пользователей вполне реальному риску.
Представители Akamai отметили, что стандартные практики безопасности всё также остаются эффективным механизмом предотвращения зловредной деятельности. Надёжные пароли, многофакторная аутентификация, своевременные обновления и тщательное ведение системных журналов — помогут избежать компрометации или хотя бы вовремя её заметить.
