Servidores Linux SSH mal gerenciados estão sendo alvo de uma nova campanha que implanta diferentes variantes de um malware chamado ShellBot.
"ShellBot, também conhecido como PerlBot, é um malware de bot DDoS desenvolvido em Perl e caracteristicamente usa o protocolo IRC para se comunicar com o servidor C&C", disse o Centro de Resposta de Emergência de Segurança da AhnLab (ASEC) em um relatório.
O ShellBot é instalado em servidores que possuem credenciais fracas, mas somente depois que os atores de ameaças usam um malware de scanner para identificar sistemas que possuem a porta SSH 22 aberta.
Uma lista de credenciais SSH conhecidas é usada para iniciar um ataque de dicionário para violar o servidor e implantar a carga útil, após o qual alavanca o protocolo Internet Relay Chat (IRC) para se comunicar com um servidor remoto.
Isso abrange a capacidade de receber comandos que permitem ao ShellBot realizar ataques DDoS e exfiltrar informações coletadas.
A ASEC disse que identificou três versões diferentes do ShellBot - LiGhT's Modded perlbot v2, DDoS PBot v2.0 e PowerBots (C) GohacK - as duas primeiras das quais oferecem uma variedade de comandos de ataque DDoS usando protocolos HTTP, TCP e UDP.
O PowerBots, por outro lado, vem com capacidades mais parecidas com backdoor para conceder acesso de shell reverso e fazer upload de arquivos arbitrários do host comprometido.
As descobertas surgem cerca de três meses depois que o ShellBot foi empregado em ataques direcionados a servidores Linux que também distribuíram mineradores de criptomoedas por meio de um compilador de script de shell.
WEBINARDescubra os Perigos Ocultos de Aplicativos SaaS de TerceirosVocê está ciente dos riscos associados ao acesso de aplicativos de terceiros aos aplicativos SaaS de sua empresa? Junte-se ao nosso webinar para aprender sobre os tipos de permissões concedidas e como minimizar o risco.
"Se o ShellBot estiver instalado, servidores Linux podem ser usados como bots DDoS para ataques DDoS contra alvos específicos após receberem um comando do ator de ameaça", disse a ASEC.
"Além disso, o ator de ameaça poderia usar vários outros recursos de backdoor para instalar malware adicional ou lançar diferentes tipos de ataques a partir do servidor comprometido."
O desenvolvimento também ocorre quando a Microsoft revelou um aumento gradual no número de ataques DDoS direcionados a organizações de saúde hospedadas no Azure, aumentando de 10 a 20 ataques em novembro de 2022 para 40 a 60 ataques diários em fevereiro de 2023.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...