Los investigadores de ciberseguridad han revelado detalles de una nueva operación de botnet llamada Acosador SSH que se basa en Internet Relay Chat ( IRC ) protocolo de comunicación para fines de mando y control (C2).

«El conjunto de herramientas combina los ayudantes sigilosos con la explotación de Linux de la era tradicional: además de los limpiadores de registros (manipulación de utmp/wtmp/lastlog) y los artefactos de tipo rootkit, el actor mantiene un amplio catálogo de exploits de la era Linux 2.6.x (CVE de 2009 a 2010)», dijo la empresa de ciberseguridad Flare dijo . «Tienen poco valor en comparación con los sistemas modernos, pero siguen siendo eficaces contra la infraestructura 'olvidada' y los entornos heredados de larga data».

SSHStalker combina la mecánica de las botnets de IRC con una operación automatizada de compromiso masivo que utiliza un escáner SSH y otros escáneres fácilmente disponibles para incorporar los sistemas vulnerables a una red e inscribirlos en los canales de IRC.

Sin embargo, a diferencia de otras campañas que suelen aprovechar estas botnets para realizar esfuerzos oportunistas, como los ataques de denegación de servicio distribuidos (DDoS), el proxyjacking o la minería de criptomonedas, se ha descubierto que SSHStalker mantiene un acceso persistente sin ningún comportamiento posterior a la explotación.

adsense

Este comportamiento inactivo lo diferencia, lo que aumenta la posibilidad de que la infraestructura comprometida se utilice para la puesta en escena, las pruebas o la retención estratégica del acceso para su uso futuro.

Un componente central de SSHStalker es un escáner de Golang que busca el puerto 22 en busca de servidores con SSH abierto para extender su alcance de forma similar a un gusano. También se eliminan varias cargas útiles, incluidas las variantes de un bot controlado por IRC y un bot de archivos Perl que se conecta a un servidor IRC UnrealIRCD, se une a un canal de control y espera comandos que le permitan llevar a cabo ataques de tráfico tipo inundación y apoderarse de los bots.

Los ataques también se caracterizan por la ejecución de archivos de programa en C para limpiar los registros de conexión SSH y borrar los rastros de actividad maliciosa de los registros para reducir la visibilidad forense. Además, el kit de herramientas contra el malware contiene un componente de «mantenimiento activo» que garantiza que el proceso principal del malware se reinicie en 60 segundos en caso de que una herramienta de seguridad lo interrumpa.

SSHStalker se destaca por combinar la automatización de compromisos masivos con un catálogo de 16 vulnerabilidades distintas que afectan al kernel de Linux, algunas de las cuales se remontan a 2009. Algunas de las fallas utilizadas en el módulo de exploits son CVE-2009-2692 , CVE-2009-2698 , CVE2010-3849 , CVE2010-1173 , CVE-2009-2267 , CVE-2009-2908 , CVE-2009-3547 , CVE2010-2959 , y CVE2010-3437 .

La investigación de Flare sobre la infraestructura de puesta en escena asociada al actor de la amenaza ha descubierto un extenso repositorio de herramientas ofensivas de código abierto y muestras de malware publicadas anteriormente. Entre ellas se incluyen:

  • Rootkits para facilitar el sigilo y la persistencia
  • Mineros de criptomonedas
  • Un script de Python que ejecuta un binario llamado «capturador de sitios web» para robar los secretos expuestos de Amazon Web Services (AWS) de los sitios web objetivo
  • EnergyMech, un bot de IRC que proporciona capacidades de ejecución remota y C2 de comandos
enlaces

Se sospecha que el autor de la amenaza detrás de la actividad podría ser de origen rumano, dada la presencia de «apodos, jergas y convenciones de nomenclatura al estilo rumano en los canales de IRC y las listas de palabras de configuración». Además, la huella digital operativa se superpone en gran medida con la de un grupo de hackers conocido como Forajido (también conocido como Dota).

«SSHStalker no parece centrarse en el desarrollo de nuevos exploits, sino que demuestra el control operativo mediante una implementación y una orquestación maduras, utilizando principalmente C para los bots principales y los componentes de bajo nivel, shell para la orquestación y la persistencia, y un uso limitado de Python y Perl, principalmente para tareas de automatización de utilidad o de soporte dentro de la cadena de ataque y para ejecutar el IRCBot», afirma Flare.

«El actor de amenazas no está desarrollando rootkits novedosos o de día cero, sino que demuestra una sólida disciplina operativa en los flujos de trabajo de compromiso masivo, el reciclaje de infraestructuras y la persistencia a largo plazo en entornos Linux heterogéneos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.