Аналитики AhnLab Security (ASEC) обнаружили новую атаку на недостаточно защищенные SSH-серверы Linux. Атака заключается в установке бэкдора под названием Supershell, который позволяет злоумышленнику удаленно управлять зараженной системой. Supershell был разработан китайским разработчиком на языке Go и может работать на различных платформах, включая Windows, Linux и Android.
Supershell Backdoor
Установка Supershell начинается после заражения системы сканером, после чего злоумышленник пытается получить доступ к системе, используя словарные атаки. В тексте представлены IP-адреса злоумышленников и учетные данные, использованные в атаке. После успешного взлома злоумышленники выполняют команды для установки Supershell или скриптов, которые служат загрузчиками для этого бэкдора. Supershell может загружаться через веб-серверы и FTP-серверы.
Вредоносное ПО, установленное злоумышленниками, маскировано, но можно идентифицировать его как Supershell по определенным строкам и поведению в процессе выполнения. В атаках на недостаточно защищенные Linux-системы часто используются также CoinMiners, такие как XMRig, и DDoS-боты, вроде ShellBot и Tsunami. В данном случае злоумышленник установил Supershell для управления системой, но похоже, что его конечная цель - майнинг криптовалюты, так как в некоторых случаях вместе с Supershell устанавливаются майнеры монет XMRig Monero. В тексте указан также адрес кошелька Monero злоумышленников.
Indicators of Compromise
IPv4
- 107.189.8.15
- 179.61.253.67
- 2.58.84.90
- 209.141.60.249
- 45.15.143.197
URLs
- http://45.15.143.197/sensi.sh
- http://45.15.143.197/ssh1
- http://45.15.143.197/x64.bin
- http://45.15.143.197:10086/supershell/compile/download/ssh
- http://45.15.143.197:44581/ssh1
MD5
- 4ee4f1e7456bb2b3d13e93797b9efbd3
- 5ab6e938028e6e9766aa7574928eb062
- e06a1ba2f45ba46b892bef017113af09
