Центр экстренного реагирования AhnLab Security (ASEC) недавно обнаружил изменение в методе распространения вредоносной программы ShellBot, которая устанавливается на плохо управляемые SSH-серверы Linux. Общая схема распространения осталась прежней, однако URL-адрес загрузки, используемый угрожающим агентом для установки ShellBot, изменился с обычного IP-адреса на шестнадцатеричное значение.
ShellBot Malware
Как правило, IP-адреса используются в формате "точка-десятичная система счисления", и угрожающие лица используют такие адреса, как "hxxp://94.250.254[.]43/", для своих C&C, загрузочных и фишинговых URL. Однако IP-адреса могут быть выражены в форматах, отличных от "десятичной системы счисления", включая десятичную и шестнадцатеричную системы счисления, и, как правило, совместимы с широко распространенными веб-браузерами.
- hxxp://0x2763da4e/dred
- hxxp://0x74cc54bd/static/home/dred/dred
В связи с этим угрозы используют различные методы обхода обнаружения URL-адресов, и в прошлом был зафиксирован случай использования десятичного адреса для создания фишинговой вредоносной программы в формате PDF. Фишинговая PDF-программа содержала URL-адрес "hxxp://1593507371", который в "десятичной системе счисления" переводится как "hxxp://94.250.254[.]43/".
Щелчок на URL-адресе в фишинговом PDF-файле приводит к подключению браузера к адресу "hxxp://1593507371", что приводит к тому же результату, что и подключение к адресу "hxxp://94.250.254[.]43/". Угрожающая сторона использовала десятичную нотацию IP-адреса в качестве URL-адреса, чтобы обойти обнаружение вредоносных URL-адресов, и при обращении к ним пользователи перенаправлялись на различные фишинговые сайты.
После сканирования систем с работающим 22-м портом угрозы ищут системы, где активен сервис SSH, и используют список часто используемых учетных данных SSH для начала атаки по словарю. Если им удается успешно войти в систему, они могут установить различные вредоносные программы.
ShellBot, также известный как PerlBot, - это вредоносная программа DDoS Bot, разработанная на языке Perl и характерно использующая протокол IRC для связи с C&C-сервером. ShellBot - это старая вредоносная программа, которая постоянно использовалась и продолжает использоваться для атак на Linux-системы.
Среди разновидностей вредоносных программ ShellBot, все еще находящихся в обращении, есть тип, известный как "DDoS PBot v2.0", и отличительной особенностью конкретного угрожающего агента, использующего этот вариант в своих атаках, является постоянное использование имени "dred" при установке вредоносной программы.
В сентябре 2023 года было подтверждено, что этот же угрожающий агент устанавливает ShellBot, используя шестнадцатеричные IP-адреса вместо привычных IP-адресов в формате "dot-decimal notation". Ниже приведен фрагмент списка, содержащего адреса источников атак, с которых осуществлялись эти атаки, а также соответствующие идентификаторы и пароли, которые использовались.
После успешного входа в систему угрожающий агент использовал следующие команды для установки ShellBot. По сравнению с предыдущими случаями, сами команды остались прежними, единственным отличием является использование шестнадцатеричных значений для IP-адреса.
Адрес, представленный в шестнадцатеричном виде как "0x2763da4e", соответствует "39.99.218[.]78", а "0x74cc54bd" - "116.204.84[.]189". Благодаря использованию curl для загрузки и его способности поддерживать шестнадцатеричный код, как и веб-браузеры, ShellBot может быть успешно загружен в среде Linux и запущен через Perl.
Indicators of Compromise
IPv4 Port Combinations
- 192.3.141.163:6667
URLs
- http://116.204.84.189/static/home/dred/dred
- http://39.107.61.230/dred
- http://39.165.53.17:8088/iposzz/dred
- http://39.99.218.78/dred
MD5
- 7bc4c22b0f34ef28b69d83a23a6c88c5
- 8853bb0aef4a3dfe69b7393ac19ddf7f
- a92559ddace1f9fa159232c1d72096b2
