Ebury Linux僵尸网络在过去十年中持续扩展,截至2023年底,已感染约10万个系统。最初于2014年发现,当时这个僵尸网络感染了25,000个系统,并在一次拆除尝试和Maxim Senakh因参与该行动而被判刑中幸存下来。根据一份新的ESET报告,Ebury已经收到了持续的更新,估计自2009年以来感染了超过40万台主机,用于经济利益的滥用。
ESET报告指出,“在其他服务器被清理或退役时,新服务器不断受到攻击。”2023年,该僵尸网络达到了11万个受感染系统的峰值,此前侵害了大型托管提供商并感染了约70,000台服务器。大多数受感染的系统是与托管提供商相关的服务器,这使攻击者能够拦截并重定向有价值的SSH流量,以捕获登录凭据。
ESET解释说,“几乎所有受感染的系统都是服务器,而不是最终用户设备。服务器通过托管网页、充当权威名称服务器、执行金融交易等来帮助运行互联网。”此外,恶意软件运营商还瞄准了Tor退出节点以及比特币和以太坊节点,以窃取加密货币钱包和信用卡数据。
僵尸网络的运营商非常活跃,使用零日漏洞批量攻击服务器,针对其他威胁行为者的基础设施窃取数据,并使用新恶意软件执行Web流量重定向。Ebury恶意软件部署在具有root特权的受感染系统上,使用凭据填充等技术破坏主机,访问虚拟机管理程序以感染所有子系统,针对托管提供商以感染所有租用的服务器,以及进行SSH中间人(AitM)攻击。
恶意软件的运营商还利用了零日漏洞,例如CVE-2021-45467(CWP网络托管面板中的未经身份验证的文件包含问题)和CVE-2016-5195(Linux内核中的Dirty COW竞赛条件导致特权升级)。在2009年至2011年期间,Ebury被安装在属于Linux基金会的至少四台服务器上,使运营商能够访问包含数百个登录凭据的文件。
此外,僵尸网络的运营商使用Perl脚本检测其他OpenSSH凭据窃取者并收集信息,还破坏了其他窃贼使用的基础设施,如Vidar Stealer的服务器和Mirai僵尸网络作者的系统。为了持久化,Ebury劫持了在启动OpenSSH客户端或服务器时执行的库,或将原始OpenSSH二进制文件替换为后门版本,并将所有SSH会话以隐藏其存在。
Ebury将状态信息、配置和收集的凭据存储在内存中,最近的版本在libcurl中注入FrizzySteal,以过滤使用库的应用程序发出的HTTP POST请求,并在通过受感染的OpenSSH服务器连接时注入生成的shell中。僵尸网络的运营商定期连接到受感染服务器,以泄露已收获的凭据,并使用脚本自动化功能,如收集新的SSH私钥和运行服务列表。
最近,网络犯罪分子部署了HelimodSteal和HelimodRedirect等恶意软件,以窃取HTTP请求或重定向它们。Ebury的最新活动显示出货币化策略的转变,包括加密货币和信用卡数据盗窃、垃圾邮件发送和凭证盗窃。为此,运营商使用特定的Apache模块、内核模块、通过防火墙隐藏流量的工具,以及用于挂载AitM攻击的脚本。
根据ESET的说法,Ebury运营商已经在34个国家的75个自治系统(AS)中的至少200个目标进行了AitM攻击,包括可访问的比特币和以太坊节点。