Черви и майнеры атакуют Linux: AhnLab раскрыла статистику атак на SSH-серверы в конце 2025 года

В последние три месяца 2025 года абсолютным лидером по числу атак стал червь P2PInfect, на долю которого пришлось 80,4% всех инцидентов. Этот показатель демонстрирует исключительную активность и эффективность самораспространяющегося кода. На втором месте с результатом 8,3% оказался майнер Prometei, а замыкает тройку лидеров другой криптоджекинг-инструмент - XMRig (2,4%). Большинство используемых злоумышленниками образцов вредоносного программного обеспечения (malware) относятся к категориям сетевых червей, криптомайнеров или ботов для распределенных атак на отказ в обслуживании (DDoS). При этом также встречаются бэкдоры и другие типы угроз.

Особенностью наблюдений стало обнаружение в логах семейств, традиционно ассоциирующихся с интернетом вещей (IoT), таких как Mirai и Gafgyt. Хотя атаки целенаправленно нацелены на серверы с SSH, эти IoT-ботнеты также пытаются получить к ним доступ. Другой известный ботнет Tsunami и вовсе не делает различий между устройствами IoT и полноценными Linux-серверами. Среди DDoS-угроз, специализирующихся именно на серверах, эксперты выделяют ShellBot и XorDDoS.

Отдельное внимание в отчете уделено деятельности угрозового актора (threat actor), известного под именем RUBYCARP. Эта группа, предположительно румынского происхождения, действует более десяти лет и зарабатывает на криптоджекинге, DDoS-атаках и фишинге. В четвертом квартале 2025 года аналитики ASEC зафиксировали непрекращающееся распространение ее ключевого инструмента - DDoS-бота ShellBot, также известного как PerlBot.

Злоумышленники сканируют сеть на наличие хостов с открытым 22-м портом, используемым службой SSH. Обнаружив такой сервер, они проводят атаку по словарю (dictionary attack), перебирая стандартные пары логин-пароль. В случае успешного взлома на систему устанавливается ShellBot. Этот бот, написанный на языке Perl, использует для связи с командным сервером (C&C) устаревший протокол IRC. Важно отметить, что его функционал не ограничивается только DDoS-атаками. Угрозовый актор получает широкий набор команд для полного контроля над зараженной системой.

Аналитики выделили два основных варианта ShellBot, используемых RUBYCARP. Первый, известный как «LiGhT’s Modded perlbot v2», обладает расширенными возможностями. Его команды сгруппированы по категориям: атаки на отказ в обслуживании (TCP, UDP, HTTP-флуд), сканирование сети (MultiScan, Nmap), установка обратной оболочки (Reverse Shell), очистка логов (LogCleaner) и даже специальные команды для атак на новостные сайты по информационной безопасности. Второй вариант проще, но поддерживает ключевые функции: сканирование портов (portscan, fullportscan) и UDP-флуд. Общей чертой для обоих вариантов является строка "netadmin.fuckOff[.]org" в конфигурации.

Статистика AhnLab наглядно показывает, что устаревшие и слабые учетные данные для доступа к SSH остаются критической уязвимостью. Атаки носят массовый и автоматизированный характер. Эксперты рекомендуют администраторам в обязательном порядке использовать аутентификацию по открытым ключам вместо паролей, настраивать брандмауэры для ограничения доступа к SSH по IP-адресам и регулярно обновлять системное программное обеспечение. Постоянный мониторинг сетевой активности и подозрительных процессов на серверах также необходим для своевременного обнаружения таких угроз, как ShellBot или P2PInfect.

IPv4

• 111.14.210.138
• 120.192.26.218
• 138.68.227.149
• 178.63.42.199
• 193.32.162.53

URLs

• http://109.169.26.110/.x/dos
• http://157.245.112.165/.j/sus
• http://61.14.210.71/.j/dixi
• http://61.14.210.71/.j/sus
• http://80.83.124.150/a/web

MD5

• 264d0e548bb8df9fa078d632e2bb6bc0
• 6f3b2f82e5382a92512587c929d65f16
• ab6e42d78b0ea610d51d2771f39df70b
• ddfdddee418ca1c79c69eadd83b1245c
• e240cfd1537b08854e7f9a9929e6c7f5