Servidores Linux SSH mal gerenciados estão sendo alvo de uma nova campanha que implanta diferentes variantes de um malware chamado ShellBot.
"ShellBot, também conhecido como PerlBot, é um malware de bot DDoS desenvolvido em Perl e caracteristicamente usa o protocolo IRC para se comunicar com o servidor C&C", disse o Centro de Resposta de Emergência de Segurança da AhnLab (ASEC) em um relatório.
O ShellBot é instalado em servidores que possuem credenciais fracas, mas somente depois que os atores de ameaças usam um malware de scanner para identificar sistemas que possuem a porta SSH 22 aberta.
Uma lista de credenciais SSH conhecidas é usada para iniciar um ataque de dicionário para violar o servidor e implantar a carga útil, após o qual alavanca o protocolo Internet Relay Chat (IRC) para se comunicar com um servidor remoto.
Isso abrange a capacidade de receber comandos que permitem ao ShellBot realizar ataques DDoS e exfiltrar informações coletadas.
A ASEC disse que identificou três versões diferentes do ShellBot - LiGhT's Modded perlbot v2, DDoS PBot v2.0 e PowerBots (C) GohacK - as duas primeiras das quais oferecem uma variedade de comandos de ataque DDoS usando protocolos HTTP, TCP e UDP.
O PowerBots, por outro lado, vem com capacidades mais parecidas com backdoor para conceder acesso de shell reverso e fazer upload de arquivos arbitrários do host comprometido.
As descobertas surgem cerca de três meses depois que o ShellBot foi empregado em ataques direcionados a servidores Linux que também distribuíram mineradores de criptomoedas por meio de um compilador de script de shell.
WEBINARDescubra os Perigos Ocultos de Aplicativos SaaS de TerceirosVocê está ciente dos riscos associados ao acesso de aplicativos de terceiros aos aplicativos SaaS de sua empresa? Junte-se ao nosso webinar para aprender sobre os tipos de permissões concedidas e como minimizar o risco.
"Se o ShellBot estiver instalado, servidores Linux podem ser usados como bots DDoS para ataques DDoS contra alvos específicos após receberem um comando do ator de ameaça", disse a ASEC.
"Além disso, o ator de ameaça poderia usar vários outros recursos de backdoor para instalar malware adicional ou lançar diferentes tipos de ataques a partir do servidor comprometido."
O desenvolvimento também ocorre quando a Microsoft revelou um aumento gradual no número de ataques DDoS direcionados a organizações de saúde hospedadas no Azure, aumentando de 10 a 20 ataques em novembro de 2022 para 40 a 60 ataques diários em fevereiro de 2023.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...