Эксперты AhnLab Security Intelligence Center (ASEC) опубликовали данные мониторинга атак на Linux-серверы, которые подвергаются взлому из-за слабой защиты SSH. Злоумышленники используют уязвимости в управлении серверами, устанавливая прокси-серверы TinyProxy и Sing-box, чтобы превратить зараженные системы в узлы для скрытого трафика, DDoS-атак или монетизации доступа.
Описание
Одной из главных проблем остается использование слабых паролей для SSH-доступа, что делает серверы легкой добычей для автоматизированных атак. ASEC выявил несколько случаев, когда после успешного взлома злоумышленники загружали и запускали вредоносные Bash-скрипты, устанавливающие прокси-серверы.
В одном из сценариев злоумышленники загружали скрипт s.sh, который автоматически устанавливал TinyProxy через менеджеры пакетов apt, yum или dnf в зависимости от дистрибутива. После этого конфигурационный файл /etc/tinyproxy/tinyproxy.conf изменялся: удалялись правила контроля доступа (Allow и Deny), а вместо них добавлялась строка Allow 0.0.0.0/0, что открывало прокси-сервер для всех IP-адресов. Это позволяло злоумышленникам свободно использовать порт 8888 для перенаправления трафика через зараженный сервер.
В другом случае атакующие устанавливали Sing-box - инструмент, поддерживающий протоколы vmess-argo, vless-reality, Hysteria2 и TUICv5, предназначенный для обхода географических ограничений (например, доступа к ChatGPT или Netflix). Хотя исходный код проекта открыт, злоумышленники использовали его в корыстных целях, устанавливая прокси на взломанные серверы без ведома владельцев. Загрузка происходила через GitHub-репозиторий, а для запуска использовался скрипт ssh_tool.sh, позволяющий быстро развернуть прокси-сервер.
Установка прокси-серверов на взломанные Linux-серверы позволяет злоумышленникам:
- Скрывать свою активность при проведении других атак.
- Продавать доступ к прокси-узлам на теневых форумах.
- Использовать зараженные серверы для организации ботнетов или DDoS-атак.
Кроме того, легитимные инструменты, такие как TinyProxy и Sing-box, усложняют обнаружение вредоносной активности, так как они не определяются традиционными антивирусами как угрозы.
Анализ ASEC показывает, что атаки на Linux-серверы становятся все более изощренными, а злоумышленники активно используют легальные инструменты для достижения своих целей. Без должной защиты серверы рискуют стать частью глобальной инфраструктуры киберпреступников.
Индикаторы компрометации
URLs
- https://0x0.st/8VDs.sh
- https://raw.githubusercontent.com/eooce/sing-box/main/sing-box.sh
MD5
- 16d1dfa35d64046128290393512171ce
- 35d79027834a3b6270455f59b54f2e19