Les serveurs Linux SSH mal gérés sont ciblés dans le cadre d’une nouvelle campagne qui déploie différentes variantes d’un malware appelé ShellBot.
« ShellBot, également connu sous le nom de PerlBotCommentest un logiciel malveillant DDoS Bot développé en Perl et utilise généralement le protocole IRC pour communiquer avec le serveur C&C », AhnLab Security Emergency Response Center (ASEC) a dit dans un rapport.
ShellBot est installé sur des serveurs dont les informations d’identification sont faibles, mais uniquement après que les pirates aient utilisé des logiciels malveillants de scanner pour identifier les systèmes sur lesquels le port SSH 22 est ouvert.
Une liste d’informations d’identification SSH connues est utilisée pour lancer une attaque par dictionnaire pour violer le serveur et déployer la charge utile, après quoi il utilise le chat de relais Internet (CRI) protocole pour communiquer avec un serveur distant.
Cela englobe la capacité de recevoir des commandes qui permettent à ShellBot de mener des attaques DDoS et d’exfiltrer les informations récoltées.
L’ASEC a déclaré avoir identifié trois versions différentes de ShellBot – Modded perlbot v2, DDoS PBot v2.0 et PowerBots (C) GohacK – dont les deux premières offrent une variété de commandes d’attaque DDoS utilisant les protocoles HTTP, TCP et UDP.
PowerBots, d’autre part, est livré avec plus de fonctionnalités de type porte dérobée pour accorder un accès inversé au shell et télécharger des fichiers arbitraires à partir de l’hôte compromis.
Les découvertes surviennent près de trois mois après que ShellBot a été utilisé dans des attaques visant des serveurs Linux qui distribuaient également des mineurs de crypto-monnaie via un compilateur de script shell.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.
« Si ShellBot est installé, les serveurs Linux peuvent être utilisés comme robots DDoS pour des attaques DDoS contre des cibles spécifiques après avoir reçu une commande de l’auteur de la menace », a déclaré l’ASEC. « De plus, l’auteur de la menace pourrait utiliser diverses autres fonctionnalités de porte dérobée pour installer des logiciels malveillants supplémentaires ou lancer différents types d’attaques à partir du serveur compromis. »
Le développement vient également comme Microsoft révélé une augmentation progressive du nombre d’attaques DDoS ciblant les organisations de santé hébergées dans Azure, passant de 10 à 20 attaques en novembre 2022 à 40 à 60 attaques quotidiennes en février 2023.