Анализ атаки на SSH-хонейпот: как злоумышленники взламывают Linux-системы

Атака началась с успешного подбора слабых учетных данных (логин root, пароль abcd123456!), после чего злоумышленники закрепились в системе, добавив свой SSH-ключ в файл authorized_keys и защитив его от изменений с помощью команды chattr +ai.

Особенностью атаки стала подготовка нескольких версий вредоносного ПО под разные архитектуры: ARM7, ARM8, i686 и x86_64. Это позволило злоумышленникам заражать как маломощные IoT-устройства, так и серверы. Кроме того, в ходе атаки использовались сложные механизмы загрузки вредоносного кода с резервными вариантами (curl, wget и прямое TCP-соединение), чтобы обойти возможные блокировки.

Анализ логов показал, что злоумышленники активно проверяли задания cron (crontab -l), вероятно, для поиска уязвимостей в расписании задач или добавления своих скриптов для долгосрочного доступа. Также они применяли антифорензик-методы, удаляя следы взлома с помощью скрипта clean.sh.

Этот случай демонстрирует, что даже в 2025 году слабые пароли остаются одной из главных причин компрометации систем. Для защиты эксперты рекомендуют использовать сложные пароли, двухфакторную аутентификацию, регулярно обновлять ПО и мониторить SSH-логи на предмет подозрительной активности.

Ранее, информация о данной угрозе встречалась в следующих публикациях:

• Две ботнет-сети атакуют уязвимость Wazuh: Mirai распространяется через CVE-2025-24016
• [GS-25-18120] Mirai Botnet IOCs
• [REINDEX-5] Mirai Botnet IOCs
• [GS-25-1278] Mirai Botnet IOCs

IPv4

• 101.126.90.24
• 117.9.170.239
• 120.133.83.199
• 135.148.27.57
• 138.197.116.43
• 14.103.123.75
• 154.219.99.245
• 167.99.128.177
• 176.109.0.30
• 176.65.148.181
• 182.40.195.233
• 196.251.70.219
• 202.55.82.250
• 203.239.31.150
• 209.141.34.106
• 211.253.10.96
• 213.155.195.169
• 45.55.187.1
• 47.236.58.21
• 67.10.184.83
• 77.105.181.82
• 81.19.140.78

SHA256

• 2ef6bb55a79d81fbda6d574456a8c187f610c5ae2ddca38e32cf7cc50912b0bf
• 3b15778595cef00d1a51035dd4fd65e6be97e73544cb1899f40aec4aaa0445ae
• 7780e72f7dea978946d4615c8db1b239d3e2c742cfc8be2934006b1fd6071110
• 811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc
• 9ac2e308b0b30354575bba88169283fa7439d34937a148ccb390bcec3c6e296b
• b6ee8e08f1d4992ca85770e6883c1d2206ebbaf42f99d99aba0e26278de8bffb
• d46555af1173d22f07c37ef9c1e0e74fd68db022f2b6fb3ab5388d2c5bc6a98e
• fc8730fbe87bcbdc093a1ffbcb0028ccb4c24638e55d13fd853b07574f4cbe4a