Kötü yönetilen Linux SSH sunucuları, ShellBot adlı farklı kötü amaçlı yazılım türlerini dağıtan yeni bir kampanyanın parçası olarak hedefleniyor.
AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) bir raporda, “PerlBot olarak da bilinen ShellBot, Perl’de geliştirilen bir DDoS Bot kötü amaçlı yazılımıdır ve karakteristik olarak C&C sunucusuyla iletişim kurmak için IRC protokolünü kullanır.”
ShellBot, zayıf kimlik bilgilerine sahip sunuculara yüklenir, ancak yalnızca tehdit aktörleri SSH bağlantı noktası 22’nin açık olduğu sistemleri belirlemek için tarayıcı kötü amaçlı yazılımından yararlandıktan sonra.
Bilinen SSH kimlik bilgilerinin bir listesi, sunucuyu ihlal etmek ve yükü dağıtmak üzere bir sözlük saldırısı başlatmak için kullanılır ve ardından uzak bir sunucuyla iletişim kurmak için Internet Relay Chat (IRC) protokolünü kullanır.
Bu, ShellBot’un DDoS saldırıları gerçekleştirmesine ve toplanan bilgileri dışarı sızdırmasına izin veren komutları alma yeteneğini kapsar.
ASEC, üç farklı ShellBot sürümü belirlediğini söyledi – LiGhT’nin Modded perlbot v2, DDoS PBot v2.0 ve PowerBots (C) GohacK – ilk ikisi HTTP, TCP ve UDP protokollerini kullanan çeşitli DDoS saldırı komutları sunuyor.
Öte yandan PowerBots, ters kabuk erişimi sağlamak ve güvenliği ihlal edilmiş ana bilgisayardan rasgele dosyaları yüklemek için daha fazla arka kapı benzeri yeteneklerle birlikte gelir.
Bulgular, ShellBot’un bir kabuk komut dosyası derleyici aracılığıyla kripto para birimi madencilerini de dağıtan Linux sunucularını hedef alan saldırılarda kullanılmasından yaklaşık üç ay sonra geldi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
ASEC, “ShellBot kuruluysa, Linux sunucuları, tehdit aktöründen bir komut aldıktan sonra belirli hedeflere yönelik DDoS saldırıları için DDoS Botları olarak kullanılabilir.” dedi. “Ayrıca, tehdit aktörü, güvenliği ihlal edilmiş sunucudan ek kötü amaçlı yazılım yüklemek veya farklı türde saldırılar başlatmak için çeşitli diğer arka kapı özelliklerini kullanabilir.”
Gelişme aynı zamanda Microsoft’un Azure’da barındırılan sağlık kuruluşlarını hedef alan DDoS saldırılarının sayısında, Kasım 2022’de 10-20 saldırıdan Şubat 2023’te günlük 40-60 saldırıya çıkarak kademeli bir artış olduğunu ortaya koymasıyla birlikte geliyor.