Главная страница » Индикаторы компрометации
0
16 дней
Индикаторы компрометации

Атаки на Linux-серверы через SSH: злоумышленники устанавливают прокси-инструменты

information security

Эксперты AhnLab Security Intelligence Center (ASEC) опубликовали данные мониторинга атак на Linux-серверы, которые подвергаются взлому из-за слабой защиты SSH. Злоумышленники используют уязвимости в управлении серверами, устанавливая прокси-серверы TinyProxy и Sing-box, чтобы превратить зараженные системы в узлы для скрытого трафика, DDoS-атак или монетизации доступа.

Описание

Одной из главных проблем остается использование слабых паролей для SSH-доступа, что делает серверы легкой добычей для автоматизированных атак. ASEC выявил несколько случаев, когда после успешного взлома злоумышленники загружали и запускали вредоносные Bash-скрипты, устанавливающие прокси-серверы.

В одном из сценариев злоумышленники загружали скрипт s.sh, который автоматически устанавливал TinyProxy через менеджеры пакетов apt, yum или dnf в зависимости от дистрибутива. После этого конфигурационный файл /etc/tinyproxy/tinyproxy.conf изменялся: удалялись правила контроля доступа (Allow и Deny), а вместо них добавлялась строка Allow 0.0.0.0/0, что открывало прокси-сервер для всех IP-адресов. Это позволяло злоумышленникам свободно использовать порт 8888 для перенаправления трафика через зараженный сервер.

В другом случае атакующие устанавливали Sing-box - инструмент, поддерживающий протоколы vmess-argo, vless-reality, Hysteria2 и TUICv5, предназначенный для обхода географических ограничений (например, доступа к ChatGPT или Netflix). Хотя исходный код проекта открыт, злоумышленники использовали его в корыстных целях, устанавливая прокси на взломанные серверы без ведома владельцев. Загрузка происходила через GitHub-репозиторий, а для запуска использовался скрипт ssh_tool.sh, позволяющий быстро развернуть прокси-сервер.

Установка прокси-серверов на взломанные Linux-серверы позволяет злоумышленникам:

  1. Скрывать свою активность при проведении других атак.
  2. Продавать доступ к прокси-узлам на теневых форумах.
  3. Использовать зараженные серверы для организации ботнетов или DDoS-атак.

Кроме того, легитимные инструменты, такие как TinyProxy и Sing-box, усложняют обнаружение вредоносной активности, так как они не определяются традиционными антивирусами как угрозы.

Анализ ASEC показывает, что атаки на Linux-серверы становятся все более изощренными, а злоумышленники активно используют легальные инструменты для достижения своих целей. Без должной защиты серверы рискуют стать частью глобальной инфраструктуры киберпреступников.

Индикаторы компрометации

URLs

  • https://0x0.st/8VDs.sh
  • https://raw.githubusercontent.com/eooce/sing-box/main/sing-box.sh

MD5

  • 16d1dfa35d64046128290393512171ce
  • 35d79027834a3b6270455f59b54f2e19
Комментарии: 0
Похожие записи
0
20.11.2023
Индикаторы компрометации

Ddostf Botnet IOCs

botnet
Аналитическая группа Центра экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) ведет постоянный мониторинг вредоносных программ, распространяемых на уязвимых серверах баз данных.
0
22.12.2022
Индикаторы компрометации

Vidar Stealer IOCs - Part 4

Stealer
Vidar Malware - один из активных Infostealers, распространение которого значительно увеличивается. Его особенности включают использование известных платформ, таких как Telegram и Mastodon, в качестве посредника C2.
0
16.03.2023
Индикаторы компрометации

RedLine Stealer IOCs - Part 17

Stealer
Вредоносная программа RedLine похищает различную информацию, такую как веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК. Она также может загружать дополнительные вредоносные программы, получая команды с C&
0
11.08.2023
Индикаторы компрометации

GuLoader Malware IOCs - Part 20

security
Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) выявил случаи распространения GuLoader в виде вложений в электронных письмах, замаскированных под налоговые накладные и акты об отправке.