Главная страница » Индикаторы компрометации
0
2 дня
Индикаторы компрометации

Киберпреступники активизируют атаки на Linux SSH-серверы: статистика третьего квартала 2025 года

information security

Центр разведки безопасности AhnLab (ASEC) опубликовал статистический отчет о атаках на плохо управляемые Linux SSH-серверы в третьем квартале 2025 года. Исследование основано на данных, собранных с помощью honeypot-систем (систем-приманок), которые позволяют отслеживать и классифицировать брутфорс-атаки и словарные атаки на серверы с открытыми SSH-портами.

Описание

Согласно отчету, основными типами вредоносного программного обеспечения (malware), используемого в атаках, являются сетевые черви, криптомайнеры и боты для распределенных атак типа "отказ в обслуживании" (DDoS). Также встречаются бэкдоры и другие категории вредоносных программ. Примечательно, что среди угроз присутствуют IoT-боты для DDoS-атак, которые традиционно нацелены на устройства интернета вещей, но теперь активно применяются и против Linux-серверов.

Среди наиболее заметных образцов вредоносного ПО исследователи выделяют семейства Mirai и Gafgyt. Особенностью Tsunami является то, что этот бот распространяется не только на устройства интернета вещей, но и на Linux-серверы. Среди других Linux-ориентированных DDoS-ботов отмечены ShellBot и XorDDoS. В сегменте криптомайнеров зафиксированы многочисленные случаи установки XMRig, а также такие семейства, как Prometei и P2PInfect.

В течение третьего квартала 2025 года был обнаружен любопытный случай атаки с использованием вредоносной программы HaiBot. Злоумышленники самостоятельно собирали исходный код и использовали его напрямую. Одной из характерных особенностей стала строка на вьетнамском языке, инструктирующая вводить правильные параметры в командный сервер (C&C). Это указывает на вероятное вьетнамское происхождение создателей данного вредоносного ПО.

Техника атаки выглядела следующим образом: после успешного подбора учетных данных для входа на Linux-сервер злоумышленники выполняли серию команд для загрузки и компиляции вредоносного кода. Команды использовали либо curl, либо wget для загрузки файла "build.c" с сервера api.haitool[.]xyz:25614, после чего происходила компиляция с помощью gcc и выполнение полученного бинарного файла.

Собранная программа "build" функционировала как загрузчик (downloader), отвечающий за скачивание и сборку бота и инструмента для DDoS-атак перед их выполнением. Вредоносное ПО, созданное под именем "ddos", представляет собой инструмент командной строки, способный проводить DDoS-атаки. Когда бот получает соответствующие команды от C&C сервера, он исполняет DDoS-инструмент с аргументами для проведения атак.

Анализ показал, что DDoS-инструмент поддерживает только UDP flood-атаки и может отправлять NULL-пакеты, строки из символов "A" указанного размера или случайные строки при передаче DDoS-пакетов. Бот, собранный под именем "bot_net", способен подключаться к C&C серверу и периодически получать команды относительно целей для атаки. Если команды включают IP-адрес и порт жертвы, DDoS-инструмент может быть выполнен с соответствующими аргументами для проведения DDoS-атаки на систему жертвы.

Коммуникация с C&C сервером организована следующим образом: при первоначальном выполнении статус устанавливается на отчет и передается, после чего проверка отправляется периодически для получения цели атаки в ответ. На момент публикации отчета команды относительно конкретных целей атаки не были идентифицированы исследователями.

Эти данные подчеркивают сохраняющуюся актуальность проблемы безопасности SSH-серверов. Несмотря на то, что SSH считается надежным протоколом, неправильная конфигурация и слабые учетные данные делают серверы уязвимыми для автоматизированных атак. Эксперты по безопасности рекомендуют администраторам использовать сложные пароли, применять двухфакторную аутентификацию, регулярно обновлять программное обеспечение и ограничивать доступ к SSH-портам с помощью брандмауэров.

Статистика третьего квартала 2025 года демонстрирует, что киберпреступники продолжают развивать свои методы атак на Linux-инфраструктуру, сочетая традиционные подходы с новыми техниками компрометации. Особую озабоченность вызывает тенденция к использованию многофункциональных ботов, способных как к несанкционированному майнингу криптовалют, так и к организации масштабных DDoS-атак.

Индикаторы компрометации

IPv4

  • 27.66.73.135

URLs

  • http://api.haitool.xyz:25614/cnc
  • http://api.haitool.xyz:25614/files?file_name=bot_net.c
  • http://api.haitool.xyz:25614/files?file_name=build
  • http://api.haitool.xyz:25614/files?file_name=build.c
  • http://api.haitool.xyz:25614/files?file_name=ddos.c

MD5

  • 062d746327ef199a9bb7bb205f472a8f
  • 0e8407921267460b18e515657eb9d438
  • 19b34894ea3a0c4ed3ca9ff691bdf5fd
  • 547d06e7952271f696148a6c4c6738e6
  • 5daab9360a9d63aff9f5a50d36aa9d30
Комментарии: 0
Похожие записи
0
15.11.2022
Индикаторы компрометации

Muldrop Dropper IOCs

security
Вредоносная программа-дроппер, маскировавшаяся под крэк, снова активно распространяется после периода затишья. При выполнении этой вредоносной программы пораженная система заражается одновременно множеством вредоносных программ.
0
14.05.2024
Индикаторы компрометации

Романтические аферы, призывающие инвестировать в монеты

security
Команда мобильного анализа AhnLab подтвердила случаи мошенничества, связанные с романтическими отношениями, где преступники вводят в заблуждение жертв, представляясь иностранными друзьями или романтическими партнерами.