يتم استهداف خوادم Linux SSH التي تتم إدارتها بشكل سيئ كجزء من حملة جديدة تنشر أنواعًا مختلفة من البرامج الضارة تسمى ShellBot.
قال مركز AhnLab Security للاستجابة للطوارئ (ASEC) في تقرير: "ShellBot ، المعروف أيضًا باسم PerlBot ، هو برنامج ضار DDoS Bot تم تطويره في Perl ويستخدم بروتوكول IRC بشكل مميز للتواصل مع خادم C&C".
يتم تثبيت ShellBot على خوادم ذات بيانات اعتماد ضعيفة ، ولكن فقط بعد أن يستخدم المهاجمون البرمجيات الخبيثة للماسح لتحديد الأنظمة التي بها منفذ SSH 22 مفتوحًا.
تُستخدم قائمة ببيانات اعتماد SSH المعروفة لبدء هجوم على القاموس لاختراق الخادم ونشر الحمولة ، وبعد ذلك تستفيد من بروتوكول Internet Relay Chat (IRC) للتواصل مع خادم بعيد.
يشمل ذلك القدرة على تلقي الأوامر التي تسمح لـ ShellBot بتنفيذ هجمات DDoS واستخراج المعلومات التي تم حصادها.
قالت ASEC إنها حددت ثلاثة إصدارات مختلفة من ShellBot - LiGhT's Modded perlbot v2 ، و DDoS PBot v2.0 ، و PowerBots (C) GohacK - يقدم أول اثنان منهما مجموعة متنوعة من أوامر هجوم DDoS باستخدام بروتوكولات HTTP و TCP و UDP.
من ناحية أخرى ، يأتي PowerBots مع المزيد من الإمكانات الشبيهة بالباب الخلفي لمنح الوصول العكسي للقذيفة وتحميل الملفات التعسفية من المضيف المخترق.
تأتي هذه النتائج بعد ما يقرب من ثلاثة أشهر من استخدام ShellBot في الهجمات التي تستهدف خوادم Linux التي قامت أيضًا بتوزيع مُعدِّني العملات المشفرة عبر مترجم نصوص شل.
وقالت ASEC: "إذا تم تثبيت ShellBot ، فيمكن استخدام خوادم Linux مثل DDoS Bots لهجمات DDoS ضد أهداف محددة بعد تلقي أمر من جهة التهديد". "علاوة على ذلك ، يمكن لممثل التهديد استخدام العديد من الميزات الخلفية الأخرى لتثبيت برامج ضارة إضافية أو إطلاق أنواع مختلفة من الهجمات من الخادم المخترق."
يأتي هذا التطور أيضًا في الوقت الذي كشفت فيه Microsoft عن زيادة تدريجية في عدد هجمات DDoS التي تستهدف مؤسسات الرعاية الصحية المستضافة في Azure ، حيث ارتفعت من 10 إلى 20 هجومًا في نوفمبر 2022 إلى 40-60 هجومًا يوميًا في فبراير 2023.
تعليقات
إرسال تعليق