Los servidores Linux SSH mal administrados están siendo el objetivo de una nueva campaña que implementa diferentes variantes de un malware llamado ShellBot.
«ShellBot, también conocido como PerlBotes un malware DDoS Bot desarrollado en Perl y, de forma característica, utiliza el protocolo IRC para comunicarse con el servidor C&C», AhnLab Security Emergency Response Center (ASEC) dicho en un informe
ShellBot se instala en servidores que tienen credenciales débiles, pero solo después de que los actores de amenazas utilicen el malware del escáner para identificar los sistemas que tienen el puerto SSH 22 abierto.
Se usa una lista de credenciales SSH conocidas para iniciar un ataque de diccionario para violar el servidor e implementar la carga útil, después de lo cual usa Internet Relay Chat (IRC) protocolo para comunicarse con un servidor remoto.
Esto abarca la capacidad de recibir comandos que permiten a ShellBot llevar a cabo ataques DDoS y filtrar la información recopilada.
ASEC dijo que identificó tres versiones diferentes de ShellBot: Modded perlbot v2 de LiGhT, DDoS PBot v2.0 y PowerBots (C) GohacK, las dos primeras ofrecen una variedad de comandos de ataque DDoS utilizando los protocolos HTTP, TCP y UDP.
PowerBots, por otro lado, viene con más capacidades de puerta trasera para otorgar acceso de shell inverso y cargar archivos arbitrarios desde el host comprometido.
Los hallazgos llegan casi tres meses después de que ShellBot fuera empleado en ataques dirigidos a servidores Linux que también distribuían mineros de criptomonedas a través de un compilador de scripts de shell.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
«Si se instala ShellBot, los servidores Linux se pueden usar como bots DDoS para ataques DDoS contra objetivos específicos después de recibir un comando del actor de amenazas», dijo ASEC. «Además, el actor de amenazas podría usar varias otras funciones de puerta trasera para instalar malware adicional o lanzar diferentes tipos de ataques desde el servidor comprometido».
El desarrollo también llega como Microsoft reveló un aumento gradual en la cantidad de ataques DDoS dirigidos a organizaciones de atención médica alojadas en Azure, pasando de 10 a 20 ataques en noviembre de 2022 a 40 a 60 ataques diarios en febrero de 2023.