Güvenliği zayıf olan Linux SSH sunucuları, diğer savunmasız sunucuları hedeflemek ve bunları kripto para birimi madenciliği ve dağıtılmış hizmet reddi (DDoS) gerçekleştirmek üzere bir ağa dahil etmek amacıyla bağlantı noktası tarayıcıları ve sözlük saldırı araçları yüklemek için kötü aktörler tarafından hedefleniyor. saldırılar.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) “Tehdit aktörleri ayrıca yalnızca tarayıcılar kurmayı ve ihlal edilen IP ve hesap kimlik bilgilerini karanlık ağda satmayı da seçebilir.” söz konusu Salı günü bir raporda.
Bu saldırılarda saldırganlar, sözlük saldırısı adı verilen bir teknikle, yaygın olarak kullanılan kullanıcı adı ve şifre kombinasyonlarının bir listesini inceleyerek bir sunucunun SSH kimlik bilgilerini tahmin etmeye çalışır.
Kaba kuvvet girişiminin başarılı olması durumunda, bunu tehdit aktörünün internetteki diğer duyarlı sistemleri taramak için tarayıcılar da dahil olmak üzere diğer kötü amaçlı yazılımları dağıtması takip eder.
Özellikle tarayıcı, SSH hizmetiyle ilişkili olan 22 numaralı bağlantı noktasının etkin olduğu sistemleri aramak ve ardından kötü amaçlı yazılım yüklemek için bir sözlük saldırısı düzenleme sürecini tekrarlayarak enfeksiyonu etkili bir şekilde yaymak üzere tasarlanmıştır.
Saldırının dikkat çeken bir diğer yönü ise “grep -c ^processor” gibi komutların yürütülmesidir. /proc/cpubilgisi” CPU çekirdeği sayısını belirlemek için.
ASEC, “Bu araçların eski PRG Ekibi tarafından oluşturulduğuna inanılıyor ve her tehdit aktörü, bunları saldırılarda kullanmadan önce bunları biraz değiştiriyor” dedi ve bu tür kötü amaçlı yazılımların kullanıldığına dair kanıtlar bulunduğunu ekledi. 2021 gibi erken bir tarihte.
Bu saldırılarla ilişkili riskleri azaltmak için kullanıcıların tahmin edilmesi zor şifreler kullanması, bunları düzenli aralıklarla değiştirmesi ve sistemlerini güncel tutması önerilir.
Bulgular, Kaspersky’nin, NKAbuse adı verilen yeni bir çoklu platform tehdidinin, DDoS saldırıları için bir iletişim kanalı olarak NKN (Yeni Tür Ağ’ın kısaltması) olarak bilinen merkezi olmayan, eşler arası ağ bağlantı protokolünü kullandığını ortaya çıkarmasıyla geldi.