CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Noi versiuni de malware ShellBot DDoS vizează serverele Linux

https://thehackernews.com

Serverele Linux SSH configurate necorespunzător sunt vizate în cadrul unei noi campanii ce utilizează diferite variante ale unui program malware numit ShellBot.

ShellBot, cunoscut și sub numele de PerlBot, este un malware DDoS Bot dezvoltat în limbajul de programare Perl și care utilizează protocolul IRC pentru a comunica cu serverul de comandă și control (C&C).

Atacatorii folosesc un malware de tip scanner pentru a identifica sistemele care au portul 22 SSH deschis, iar apoi instalează ShellBot în cadrul serverelor ce nu au măsuri de securitate suplimentare și au credențialele expuse.

Se utilizează o listă de credențiale SSH cunoscute care este folosită pentru a iniția un atac de tip dictionary pentru a pătrunde pe server și a implementa payload-uri, după care se utilizează protocolul Internet Relay Chat (IRC) pentru a comunica cu un server de la distanță.

Acest lucru îi permite malware-ului ShellBot să efectueze atacuri de tip DDoS și să exfiltreze informații. 

Specialiștii au identificat trei versiuni diferite ale malware-ului ShellBot – LiGhT’s Modded perlbot v2, DDoS PBot v2.0 și PowerBots (C) GohacK, primele două oferind o varietate de comenzi utilizate în atacuri de tip DDoS folosind protocoalele HTTP, TCP și UDP.

În plus, atacatorii ar putea utiliza diverse funcții backdoor pentru a instala programe malware suplimentare sau pentru a lansa diferite tipuri de atacuri în cadrul serverelor compromise.

Sursă: https://thehackernews.com/2023/03/new-shellbot-ddos-malware-targeting.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |