Investigadores de ciberseguridad han revelado detalles de una nueva operación de botnet llamada SSHStalker que se basa en el protocolo de comunicación Internet Relay Chat (IRC) para fines de comando y control (C2).
«Este conjunto de herramientas combina ayudas sigilosas con exploits de la era heredada de Linux. Además de limpiadores de registros (utmp/wtmp/lastlog manipulación) y artefactos de clase rootkit, los atacantes mantienen un gran catálogo de exploits de la era Linux 2.6.x (CVE de 2009-2010)», dijo la firma de ciberseguridad Flare. «Si bien tienen menos valor frente a las pilas modernas, siguen siendo eficaces frente a infraestructuras ‘olvidadas’ y entornos heredados de cola larga».
SSHStalker combina la mecánica de una botnet IRC con una operación automatizada de compromiso masivo que utiliza escáneres SSH y otros escáneres fácilmente disponibles para incorporar sistemas susceptibles a la red y registrarlos en canales IRC.
Sin embargo, a diferencia de otras campañas que normalmente utilizan este tipo de botnets para oportunidades como ataques distribuidos de denegación de servicio (DDoS), proxyjacking y minería de criptomonedas, se ha descubierto que SSHStalker mantiene un acceso persistente sin ningún comportamiento posterior a la explotación.
Este comportamiento inactivo aumenta la probabilidad de que la infraestructura comprometida se utilice para preparar, probar o retener estratégicamente el acceso para uso futuro.
El componente principal de SSHStalker es un escáner Golang que escanea el puerto 22 de servidores con SSH abierto para extender su alcance como si fuera un gusano. También se han eliminado varias cargas útiles, incluida una variante del bot de control de IRC y un bot de archivos Perl que se conecta al servidor IRC de UnrealIRCd, se une al canal de control y espera comandos que le permitan realizar un ataque de tráfico de tipo inundación y hacerse cargo del bot.
Este ataque también incluye la ejecución de un archivo de programa C para borrar los registros de conexión SSH, limpiar los registros de cualquier rastro de actividad maliciosa y reducir la visibilidad forense. Además, el kit de herramientas de malware incluye un componente «keepalive» que garantiza que el proceso principal de malware se reinicie en 60 segundos si una herramienta de seguridad lo finaliza.
SSHStalker es conocido por combinar la automatización de violaciones masivas con un catálogo de 16 vulnerabilidades diferentes que afectan al kernel de Linux, algunas de las cuales se remontan a 2009. Algunas de las fallas utilizadas en el módulo de explotación incluyen CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 y CVE-2010-3437.
La investigación de Flare sobre la infraestructura de preparación asociada con los actores de amenazas reveló un extenso repositorio de herramientas de ataque de código abierto y muestras de malware publicadas anteriormente. Estos incluyen –
Rootkits que promueven el sigilo y la persistencia Mineros de criptomonedas Scripts de Python que ejecutan binarios llamados “capturadores de sitios web” para robar secretos expuestos de Amazon Web Services (AWS) de sitios web específicos Bots de IRC que brindan capacidades de ejecución remota de comandos y C2 EnergyMech
Se sospecha que los atacantes detrás de esta actividad pueden ser de origen rumano, debido a la presencia de «apodos de estilo rumano, patrones de jerga y convenciones de nomenclatura dentro de los canales IRC y listas de palabras configuradas». Además, su huella operativa muestra una fuerte superposición con la del grupo de hackers conocido como Outlaw (también conocido como Dota).
«SSHStalker no parece estar enfocado en desarrollar nuevos exploits, sino que demuestra una implementación madura y control operativo a través de la orquestación, usando principalmente C para bots centrales y componentes de bajo nivel, Shell para orquestación y persistencia, y Python y Perl limitados principalmente para soportar utilidades o tareas automatizadas dentro de la cadena de ataque y para ejecutar IRCbot», dijo Flair.
«Los atacantes no están desarrollando rootkits de día cero ni nuevos, sino que están demostrando una fuerte disciplina operativa en flujos de trabajo de compromiso masivo, reciclaje de infraestructura y persistencia de cola larga en entornos Linux heterogéneos».
Source link
