Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers atacam servidores SSH Linux com malware Tsunami DDoS

Uma campanha de ataque foi descoberta recentemente pelo AhnLab ASEC, onde servidores Linux SSH mal controlados s√£o direcionados e infiltrados pelo Tsunami DDoS Bot.

Al√©m do Tsunami, o agente da amea√ßa instalou v√°rios outros tipos de malware, incluindo: ‚Äď

  • ShellBot
  • XMRig CoinMiner
  • Limpador de registros

A maioria dos ataques a servidores SSH Linux mal gerenciados envolve a instalação de bots DDoS ou CoinMiners.

Malware DDoS Tsunami

Tsunami é uma variante do Kaiten (também conhecido como Ziggy), um bot DDoS, e é frequentemente distribuído junto com Mirai e Gafgyt para atacar dispositivos IoT vulneráveis.

Embora sejam todos bots DDoS, o Tsunami √© √ļnico porque funciona como um bot de IRC e se comunica com o ator da amea√ßa por meio do IRC.

O código-fonte do Tsunami é de acesso aberto, levando ao uso generalizado por muitos atores de ameaças.

√Č utilizado principalmente para direcionar dispositivos IoT em ataques. Al√©m disso, √© regularmente empregado para direcionar servidores Linux sem falhas.

Ataque contra servidores SSH Linux

O servi√ßo SSH √© comumente instalado em servidores Linux, tornando-os vulner√°veis ‚Äč‚Äča ataques devido ao mau gerenciamento.

Ele também permite login remoto e controle do sistema para administradores, exigindo que eles façam login com sua conta de usuário registrada.

O uso de informa√ß√Ķes b√°sicas de login (nome de usu√°rio e senha) em um sistema Linux pode permitir que uma pessoa mal-intencionada entre no sistema adivinhando √† for√ßa ou usando uma lista predefinida de senhas comuns.

Quando servidores Linux SSH mal gerenciados são direcionados, os invasores procuram servidores expostos verificando portas específicas.

Eles ent√£o tentam credenciais de conta conhecidas para executar ataques de dicion√°rio e obter acesso n√£o autorizado.

N√≥s recomendamos:  Ataque de malware em dispositivos Android falsificados no WhatsApp e WhatsApp Business

Abaixo mencionamos os endere√ßos que foram atacados junto com seus IDs e senhas: ‚Äď

Uma vez logado, o invasor executa um comando para baixar e lan√ßar diferentes tipos de malware. Um dos malwares instalados √© um script Bash chamado arquivo ‚Äúchave‚ÄĚ, que atua como um downloader e instala mais malware.

Al√©m de baixar malware, o arquivo ‚Äúchave‚ÄĚ tamb√©m realiza v√°rias tarefas iniciais para obter controle sobre sistemas infectados, como configurar uma conta SSH secreta como backdoor, pesquisadores disse.

Abaixo, mencionamos todos os malwares instalados por meio do comando executado e do script Bash do downloader: ‚Äď

  • Downloader Bash (URL de download: ddoser[.]organiza√ß√£o/chave)
  • Bot DDoS ShellBot (URL de download: ddoser[.]organiza√ß√£o/logotipo)
  • Bot DDoS ShellBot (URL de download: ddoser[.]org/siwen/bot)
  • Bot Tsunami DDoS (URL de download: ddoser[.]org/siwen/a)
  • MIG Logcleaner v2.0 (URL de download: ddoser[.]org/siwen/cls)
  • 0x333shadow Log Cleaner (URL de download: ddoser[.]org/siwen/limpo)
  • Malware de escalonamento de privil√©gios (URL de download: ddoser[.]org/siwen/ping6)
  • XMRig CoinMiner (arquivo compactado) (URL de download: ddoser[.]organiza√ß√£o/principal)

ShellBot √© um bot DDoS baseado em Perl que utiliza o protocolo IRC para comunica√ß√£o, pode configurar um shell reverso e suporta: –

O Tsunami permanece ativo mesmo ap√≥s a reinicializa√ß√£o, salvando-se em ‚Äú/etc/rc.local‚ÄĚ e disfar√ßando-se com nomes comuns de processos do sistema.

Aqui abaixo mencionamos todos os comandos de controle remoto que o Tsunami suporta: ‚Äď

  • Execu√ß√£o de comando shell
  • Conchas reversas
  • Coletando informa√ß√Ķes do sistema
  • Atualizando-se
  • Baixando cargas adicionais de uma fonte externa

Para remover quaisquer vestígios de acesso não autorizado em computadores comprometidos, MIG Logcleaner v2.0 e Shadow Log Cleaner são utilizados, atrasando assim a detecção imediata da infecção pelas vítimas

Nesses ataques, o malware usado pelos agentes da amea√ßa √© um arquivo ‚ÄúELF‚ÄĚ e concede privil√©gios elevados ao agente da amea√ßa.

N√≥s recomendamos:  Google lan√ßar√° Pixel 8 e pixels 8 Pro na √ćndia hoje: detalhes do evento de lan√ßamento

Mitiga√ß√Ķes

Abaixo mencionamos todas as mitiga√ß√Ķes oferecidas pelos analistas de seguran√ßa: –

  • Os usu√°rios do Linux devem usar senhas fortes ou chaves SSH para prote√ß√£o contra ataques.
  • Certifique-se de desabilitar o login root via SSH.
  • Tome as medidas necess√°rias para restringir o acesso ao servidor, permitindo apenas um intervalo espec√≠fico de endere√ßos IP.
  • Certifique-se de alterar a porta SSH padr√£o para um n√ļmero menos comum para evitar bots automatizados e scripts de infec√ß√£o.