Главная страница » Индикаторы компрометации
0
7 дней
Индикаторы компрометации

Атаки на Linux-серверы через SSH: злоумышленники устанавливают прокси-инструменты

information security

Эксперты AhnLab Security Intelligence Center (ASEC) опубликовали данные мониторинга атак на Linux-серверы, которые подвергаются взлому из-за слабой защиты SSH. Злоумышленники используют уязвимости в управлении серверами, устанавливая прокси-серверы TinyProxy и Sing-box, чтобы превратить зараженные системы в узлы для скрытого трафика, DDoS-атак или монетизации доступа.

Описание

Одной из главных проблем остается использование слабых паролей для SSH-доступа, что делает серверы легкой добычей для автоматизированных атак. ASEC выявил несколько случаев, когда после успешного взлома злоумышленники загружали и запускали вредоносные Bash-скрипты, устанавливающие прокси-серверы.

В одном из сценариев злоумышленники загружали скрипт s.sh, который автоматически устанавливал TinyProxy через менеджеры пакетов apt, yum или dnf в зависимости от дистрибутива. После этого конфигурационный файл /etc/tinyproxy/tinyproxy.conf изменялся: удалялись правила контроля доступа (Allow и Deny), а вместо них добавлялась строка Allow 0.0.0.0/0, что открывало прокси-сервер для всех IP-адресов. Это позволяло злоумышленникам свободно использовать порт 8888 для перенаправления трафика через зараженный сервер.

В другом случае атакующие устанавливали Sing-box - инструмент, поддерживающий протоколы vmess-argo, vless-reality, Hysteria2 и TUICv5, предназначенный для обхода географических ограничений (например, доступа к ChatGPT или Netflix). Хотя исходный код проекта открыт, злоумышленники использовали его в корыстных целях, устанавливая прокси на взломанные серверы без ведома владельцев. Загрузка происходила через GitHub-репозиторий, а для запуска использовался скрипт ssh_tool.sh, позволяющий быстро развернуть прокси-сервер.

Установка прокси-серверов на взломанные Linux-серверы позволяет злоумышленникам:

  1. Скрывать свою активность при проведении других атак.
  2. Продавать доступ к прокси-узлам на теневых форумах.
  3. Использовать зараженные серверы для организации ботнетов или DDoS-атак.

Кроме того, легитимные инструменты, такие как TinyProxy и Sing-box, усложняют обнаружение вредоносной активности, так как они не определяются традиционными антивирусами как угрозы.

Анализ ASEC показывает, что атаки на Linux-серверы становятся все более изощренными, а злоумышленники активно используют легальные инструменты для достижения своих целей. Без должной защиты серверы рискуют стать частью глобальной инфраструктуры киберпреступников.

Индикаторы компрометации

URLs

  • https://0x0.st/8VDs.sh
  • https://raw.githubusercontent.com/eooce/sing-box/main/sing-box.sh

MD5

  • 16d1dfa35d64046128290393512171ce
  • 35d79027834a3b6270455f59b54f2e19
Комментарии: 0
Похожие записи
0
14.05.2024
Индикаторы компрометации

Вредоносные программы, распространяемые как материалы, связанные с нарушением авторских прав (Beast Ransomware, Vidar Infostealer)

security
Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) сообщает о новом способе распространения вредоносного программного обеспечения (ПО), замаскированного под предупреждения о нарушении авторских прав и резюме.
0
02.11.2023
Индикаторы компрометации

Infostealer заражает при выполнении легитимных EXE-файлов (DLL Hijacking)

Stealer
Автор угрозы распространяет легитимный EXE-файл с валидной сигнатурой и вредоносную DLL, сжатую в одном каталоге. Сам EXE-файл является легитимным, но при его выполнении в том же каталоге, что и вредоносная
0
17.02.2023
Индикаторы компрометации

njRAT IOCs - Part 3

remote access Trojan
njRAT - это вредоносная программа RAT, которая может красть информацию, включая перехват клавиатуры, а также выполнять команды от агента угрозы. Недавно выявленные njRAT обычно распространяются через фишинг