Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Злоумышленники, стоящие за ShellBot, используют IP-адреса, преобразованные в шестнадцатеричную систему счисления, для проникновения на плохо управляемые SSH-серверы Linux и развертывания вредоносного ПО DDoS.
"Общий поток остается прежним, но URL-адрес загрузки, используемый субъектом угрозы для установки ShellBot, изменился с обычного IP-адреса на шестнадцатеричное значение", - сказал Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) в новом отчете, опубликованном сегодня.
Известно, что ShellBot, также известный под именем PerlBot, взламывает серверы, которые имеют слабые учетные данные SSH, посредством атаки по словарю, при этом вредоносное ПО используется в качестве канала для проведения DDoS-атак и доставки майнеров криптовалют.
Разработанная на Perl вредоносная программа использует протокол IRC для связи с командно-контрольным сервером (C2).
Было обнаружено, что в последнем наборе наблюдаемых атак с участием ShellBot вредоносная программа устанавливается с использованием шестнадцатеричных IP–адресов – hxxp: //0x2763da4e/, что соответствует 39.99.218 [.]78 - что рассматривается как попытка обойти сигнатуры обнаружения на основе URL.
"Благодаря использованию curl для загрузки и его способности поддерживать шестнадцатеричные числа так же, как веб-браузеры, ShellBot может быть успешно загружен в системную среду Linux и выполнен с помощью Perl", - сказали в ASEC.
Разработка является признаком того, что ShellBot продолжает стабильно использоваться для запуска атак на системы Linux.
Поскольку ShellBot может использоваться для установки дополнительного вредоносного ПО или запуска различных типов атак со скомпрометированного сервера, пользователям рекомендуется переключаться на надежные пароли и периодически менять их, чтобы противостоять атакам методом перебора и по словарю.
Раскрытие также происходит после того, как ASEC выявила, что злоумышленники используют ненормальные сертификаты с необычно длинными строками для полей имени субъекта и имени эмитента в попытке распространить вредоносное ПО для кражи информации, такое как Lumma Stealer и вариант RedLine Stealer, известный как RecordBreaker.
"Эти типы вредоносных программ распространяются через вредоносные страницы, которые легко доступны через поисковые системы (SEO-отравление), представляя угрозу широкому кругу неуказанных пользователей", - сказали в ASEC. "Эти вредоносные страницы в основном используют ключевые слова, связанные с незаконными программами, такими как сериалы, кейгены и взломы".
