Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) анализирует кампании атак на плохо управляемые Linux SSH-серверы. Перед установкой вредоносного ПО, такого как DDoS-бот и CoinMiner, злоумышленникам необходимо получить информацию об объекте атаки - IP-адрес и учетные данные SSH-аккаунта.
Для этого проводится сканирование IP-адресов в поисках серверов с активированной службой SSH или портом 22, после чего начинается атака грубой силой или по словарю для получения идентификатора и пароля.
Злоумышленники могут добывать тем больше криптовалюты, чем больше CoinMiners они контролируют. Они также могут проводить тем более мощные DDoS-атаки, чем больше DDoS-ботов они контролируют. Однако, чтобы установить больше CoinMiners и DDoS-ботов, они должны получить как можно больше информации или учетных данных от своих целей.
Таким образом, помимо DDoS-ботов и CoinMiners, злоумышленники могут устанавливать в зараженные системы вредоносное ПО, выполняющее такое сканирование и атаки методом грубой силы или по словарю, что позволяет им использовать более уязвимые системы. Злоумышленники также могут установить только сканеры и продавать взломанные IP-адреса и учетные данные в "темной паутине".
Помимо DDoS-ботов и CoinMiners известны случаи установки вредоносного ПО для SSH-сканеров на плохо управляемые SSH-серверы.
Indicators of Compromise
URLs
- http://58.216.207.82/scan.tar
MD5
- 03b23be96901764867da50dcd48c96dd
- 45901e5b336fd0eb79c6decb8e9a69cb
- 6fe6cc7c88cf1a0c20727a03d2577c04
- 946689ba1b22d457be06d95731fcbcac
- db1fd9c0ccc6aea1176d219ff5d7fd01
- dfa3dcb5b825f5622e54bd09be73b6ed
- edc91faa16aa3e5b3d7303b2a276d23d
