Ngày 21 tháng 3 năm 2023Ravie LakshmananLinux / Bảo mật máy chủ
Các máy chủ Linux SSH được quản lý kém đang được nhắm mục tiêu như một phần của chiến dịch mới triển khai các biến thể khác nhau của phần mềm độc hại có tên shellbot.
“ShellBot, còn được gọi là PerlBot, là phần mềm độc hại DDoS Bot được phát triển bằng Perl và sử dụng giao thức IRC để liên lạc với máy chủ C&C”, Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) cho biết trong một báo cáo.
ShellBot được cài đặt trên các máy chủ có thông tin xác thực yếu, nhưng chỉ sau khi các tác nhân đe dọa sử dụng phần mềm độc hại máy quét để xác định các hệ thống có cổng SSH 22 đang mở.
Danh sách thông tin đăng nhập SSH đã biết được sử dụng để bắt đầu một cuộc tấn công từ điển nhằm xâm phạm máy chủ và triển khai tải trọng, sau đó nó sử dụng giao thức Trò chuyện chuyển tiếp Internet (IRC) để giao tiếp với máy chủ từ xa.
Điều này bao gồm khả năng nhận lệnh cho phép ShellBot thực hiện các cuộc tấn công DDoS và lọc thông tin thu thập được.
ASEC cho biết họ đã xác định được ba phiên bản ShellBot khác nhau – LiGhT's Modded perlbot v2, DDoS PBot v2.0 và PowerBots (C) GohacK – hai phiên bản đầu tiên cung cấp nhiều lệnh tấn công DDoS sử dụng các giao thức HTTP, TCP và UDP.
Mặt khác, PowerBots đi kèm với nhiều khả năng giống như cửa hậu hơn để cấp quyền truy cập trình bao ngược và tải lên các tệp tùy ý từ máy chủ bị xâm nhập.
Phát hiện này được đưa ra gần ba tháng sau khi ShellBot được sử dụng trong các cuộc tấn công nhằm vào các máy chủ Linux cũng phân phối các công cụ khai thác tiền điện tử thông qua trình biên dịch shell script.
ASEC cho biết: “Nếu ShellBot được cài đặt, các máy chủ Linux có thể được sử dụng làm DDoS Bots cho các cuộc tấn công DDoS nhằm vào các mục tiêu cụ thể sau khi nhận được lệnh từ tác nhân đe dọa”. “Hơn nữa, tác nhân đe dọa có thể sử dụng nhiều tính năng cửa sau khác để cài đặt phần mềm độc hại bổ sung hoặc khởi chạy các loại tấn công khác nhau từ máy chủ bị xâm nhập.”
Diễn biến này cũng xảy ra khi Microsoft tiết lộ số lượng các cuộc tấn công DDoS nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe được lưu trữ trong Azure đang tăng dần, tăng từ 10-20 cuộc tấn công vào tháng 11 năm 2022 lên 40-60 cuộc tấn công hàng ngày vào tháng 2 năm 2023.
