Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Злоумышленники устанавливают на плохо защищенные SSH-серверы Linux сканеры портов и инструменты для атаки по словарю с целью нацеливания на другие уязвимые серверы и объединения их в сеть для проведения майнинга криптовалют и распределенных атак типа "отказ в обслуживании" (DDoS).
"Субъекты угрозы также могут установить только сканеры и продать взломанный IP-адрес и учетные данные учетной записи в темной Сети", - сказал Центр экстренного реагирования AhnLab Security (ASEC) в отчете во вторник.
В ходе этих атак злоумышленники пытаются угадать SSH-учетные данные сервера, просматривая список часто используемых комбинаций имен пользователей и паролей, метод, называемый атакой по словарю.
В случае успеха попытки перебора, за ней следует внедрение других вредоносных программ, включая сканеры, для сканирования других уязвимых систем в Интернете.
В частности, сканер предназначен для поиска систем, в которых активен порт 22, связанный со службой SSH, а затем повторяет процесс проведения атаки по словарю для установки вредоносного ПО, эффективно распространяющего инфекцию.
Другим примечательным аспектом атаки является выполнение таких команд, как "grep -c ^ processor /proc /cpuinfo" для определения количества ядер процессора.
"Считается, что эти инструменты были созданы старой командой PRG, и каждый участник угрозы слегка модифицирует их, прежде чем использовать в атаках", - сказали в ASEC, добавив, что есть свидетельства использования такого вредоносного программного обеспечения уже в 2021 году.
Чтобы снизить риски, связанные с этими атаками, пользователям рекомендуется полагаться на пароли, которые трудно угадать, периодически менять их и поддерживать свои системы в актуальном состоянии.
Результаты получены после того, как Касперский обнаружил, что новая мультиплатформенная угроза под названием NKAbuse использует децентрализованный протокол однорангового сетевого подключения, известный как NKN (сокращение от New Kind of Network), в качестве канала связи для DDoS-атак.
