Gli hacker infettano i server Linux SSH con il malware botnet Tsunami

Un attore di minacce sconosciute sta costringendo i server Linux SSH a installare un'ampia gamma di malware, tra cui il bot Tsunami DDoS (Distributed Denial of Service), ShellBot, strumenti di pulizia dei registri, strumenti di escalation dei privilegi e un coin miner XMRig (Monero).

SSH (Secure Socket Shell) è un protocollo di comunicazione di rete crittografato per accedere a macchine remote, supportare il tunneling, il port forwarding TCP, i trasferimenti di file, ecc.

Gli amministratori di rete in genere utilizzano SSH per gestire i dispositivi Linux in remoto, eseguendo attività come l'esecuzione di comandi, la modifica della configurazione, l'aggiornamento del software e la risoluzione dei problemi.

Tuttavia, se questi server sono scarsamente protetti, potrebbero essere vulnerabili agli attacchi di forza bruta, consentendo agli attori delle minacce di provare molte potenziali combinazioni nome utente-password finché non viene trovata una corrispondenza.

Gli aggressori hanno scansionato Internet alla ricerca di server SSH Linux esposti pubblicamente e quindi hanno forzato brute coppie nome utente-password per accedere al server.

Dopo aver stabilito un punto d'appoggio sull'endpoint come utente amministratore, hanno eseguito il seguente comando per recuperare ed eseguire una raccolta di malware tramite uno script Bash.

ASEC ha osservato che gli intrusi hanno anche generato una nuova coppia di chiavi SSH pubbliche e private per il server violato per mantenere l'accesso anche se la password dell'utente è stata modificata.

Il malware scaricato su host compromessi include botnet DDoS, strumenti di pulizia dei registri, minatori di criptovalute e strumenti di escalation dei privilegi.

A partire da ShellBot, questo bot DDoS basato su Perl utilizza il protocollo IRC per la comunicazione. Supporta attacchi di scansione delle porte, UDP, TCP e HTTP flood e può anche configurare una shell inversa.

L'altro malware botnet DDoS visto in questi attacchi è Tsunami, che utilizza anche il protocollo IRC per la comunicazione.

La versione particolare vista da ASEC è "Ziggy", una variante Kaiten. Tsunami persiste tra i riavvii scrivendo se stesso su "/etc/rc.local" e usa i tipici nomi dei processi di sistema per nascondersi.

Oltre agli attacchi DDoS SYN, ACK, UDP e random flood, Tsunami supporta anche un ampio set di comandi di controllo remoto, tra cui esecuzione di comandi shell, inversione di shell, raccolta di informazioni di sistema, aggiornamento stesso e download di payload aggiuntivi da una fonte esterna.

Elenco completo dei comandi supportati da Tsunami

Elenco completo dei comandi supportati da Tsunami (ASEC)

Successivamente ci sono MIG Logcleaner v2.0 e Shadow Log Cleaner, entrambi strumenti utilizzati per cancellare le prove di intrusione su computer compromessi, rendendo meno probabile che le vittime si rendano conto rapidamente dell'infezione.

Questi strumenti supportano argomenti di comando specifici che consentono agli operatori di eliminare i registri, modificare i registri esistenti o aggiungere nuovi registri al sistema.

Il malware di escalation dei privilegi utilizzato in questi attacchi è un file ELF (Executable and Linkable Format) che aumenta i privilegi dell'aggressore a quelli di un utente root.

Infine, gli attori delle minacce attivano un minatore di monete XMRig per dirottare le risorse computazionali del server per estrarre Monero su un pool specificato.