400.000 servidores Linux atingidos pelo botnet Ebury

04/06/2024 mindsecblog Notícias 1

400.000 servidores Linux atingidos pelo botnet Ebury. O botnet Ebury Linux capturou mais de 400 mil sistemas Linux em 15 anos, com cerca de 100 mil ainda infectados.

A expansão do botnet Ebury Linux continuou ininterrupta ao longo da última década, com aproximadamente 100.000 sistemas infectados identificados no final de 2023, relata a ESET.

Descoberto inicialmente em 2014 , quando era um botnet com 25.000 sistemas, o botnet Ebury sobreviveu a uma tentativa de derrubada e à condenação de Maxim Senakh por seu envolvimento na operação.

Backdoor OpenSSH e ladrão de credenciais, Ebury tem recebido atualizações constantes e estima-se que tenha infectado mais de 400.000 hosts desde 2009, abusando deles para obter ganhos financeiros, mostra um novo relatório da ESET (PDF).

“Há uma agitação constante de novos servidores comprometidos enquanto outros são limpos ou desativados”, observa a ESET, explicando que a botnet atingiu o pico de 110.000 sistemas enredados em 2023, depois de comprometer um grande provedor de hospedagem e infectar cerca de 70.000 servidores.

Na verdade, muitos dos sistemas infectados são servidores pertencentes a provedores de hospedagem, o que permitiu aos invasores interceptar o tráfego SSH de alvos interessantes e redirecioná-lo para um servidor controlado pelo invasor para capturar credenciais de login.

“Quase todos os sistemas comprometidos são servidores, e não dispositivos de usuários finais. Os servidores ajudam a administrar a Internet hospedando páginas da web, agindo como servidores de nomes autorizados, realizando transações financeiras, etc.”, ressalta a ESET.

Além disso, os operadores de malware foram vistos visando os nós de saída do Tor junto com os nós Bitcoin e Ethereum para roubar carteiras de criptomoedas hospedadas neles, bem como espionar o tráfego da rede para roubar dados de cartão de crédito.

De acordo com a ESET, os operadores da botnet são altamente ativos, usando software de administrador de dia zero para comprometer servidores em massa, visando a infraestrutura de outros atores de ameaças para roubar dados exfiltrados de suas vítimas e usando novo malware para realizar o redirecionamento do tráfego da web.

Ebury está sendo implantado nos sistemas comprometidos com privilégios de root, usando técnicas como preenchimento de credenciais para comprometer hosts, acesso a hipervisores para infectar todos os subsistemas, provedores de hospedagem comprometidos para infectar todos os servidores alugados e adversário SSH no meio ( AitM).

Os operadores do malware também foram vistos explorando bugs de dia zero, como CVE-2021-45467 , um problema de inclusão de arquivo não autenticado no painel de hospedagem web Control Web Panel (CWP), e CVE-2016-5195 (Dirty COW), uma corrida condição no kernel do Linux que leva ao escalonamento de privilégios.

Entre 2009 e 2011, o Ebury foi instalado em pelo menos quatro servidores pertencentes à Linux Foundation, proporcionando aos seus operadores acesso a arquivos contendo centenas de credenciais de login.

Além disso, os operadores da botnet usaram um script Perl para detectar outros ladrões de credenciais OpenSSH e coletar informações deles. Eles também comprometeram a infraestrutura usada por outros ladrões, como os servidores usados pelo Vidar Stealer e o sistema do autor de um botnet Mirai.

Para persistência, o malware sequestra uma biblioteca para ser executada quando um cliente ou servidor OpenSSH é iniciado ou substitui os binários originais do OpenSSH por versões backdoor. Para esconder a sua presença, Ebury compromete todas as sessões SSH.

Ebury armazena informações de estado, configuração e credenciais coletadas na memória, e versões recentes foram vistas injetando FrizzySteal em libcurl para exfiltrar solicitações HTTP POST feitas por aplicativos que usam a biblioteca e sendo injetadas em shells gerados quando conectados por meio de um servidor OpenSSH comprometido.

Depois de comprometer um servidor, os operadores do botnet conectam-se a ele periodicamente para exfiltrar as credenciais coletadas. Eles também foram vistos usando scripts para automatizar funções como a coleta de novas chaves privadas SSH e uma lista de serviços em execução.

Os cibercriminosos também foram vistos implantando malware como HelimodSteal e HelimodRedirect para roubar solicitações HTTP ou redirecioná-las.

A atividade recente da Ebury mostrou uma mudança nas táticas de monetização, incluindo criptomoeda e roubo de dados de cartão de crédito, envio de spam e roubo de credenciais. Para isso, as operadoras têm utilizado módulos específicos do Apache, um módulo de kernel, ferramentas para ocultar o tráfego através do firewall e scripts para montar ataques AitM.

De acordo com a ESET, os operadores Ebury montaram ataques AitM contra pelo menos 200 alvos em 75 sistemas autônomos (AS) em 34 países, incluindo nós acessíveis de Bitcoin e Ethereum.