Investigadores de ciberseguridad han revelado detalles de una nueva operación de botnet llamada SSHStalker, que se basa en el protocolo de comunicación Internet Relay Chat (IRC) para fines de comando y control (C2).
"El conjunto de herramientas combina herramientas de ayuda ocultas con la explotación de sistemas Linux heredados: junto con limpiadores de registros (alteración de utmp/wtmp/lastlog) y artefactos de tipo rootkit, el actor mantiene un amplio catálogo de exploits de la era Linux 2.6.x (CVE de 2009-2010)", declaró la empresa de ciberseguridad Flare. "Estos tienen poco valor contra las plataformas modernas, pero siguen siendo eficaces contra infraestructuras 'olvidadas' y entornos heredados de larga cola".
SSHStalker combina la mecánica de una botnet IRC (como en la década del 2000) con una operación automatizada de compromiso masivo que utiliza un escáner SSH y otros escáneres disponibles para integrar sistemas susceptibles en una red e inscribirlos en canales IRC.
Sin embargo, a diferencia de otras campañas que suelen aprovechar estas botnets para acciones oportunistas, como ataques de denegación de servicio distribuido (DDoS), proxyjacking o minería de criptomonedas, se ha descubierto que SSHStalker mantiene un acceso persistente sin ningún comportamiento posterior a la explotación.
Este comportamiento latente lo distingue, planteando la posibilidad de que la infraestructura comprometida se esté utilizando para pruebas, almacenamiento o retención estratégica de acceso para uso futuro.
Un componente esencial de SSHStalker es un escáner de Golang que busca el puerto 22 en servidores con SSH abierto para extender su alcance de forma similar a un gusano. También se han detectado varias cargas útiles, incluyendo variantes de un bot controlado por IRC y un bot de archivos Perl que se conecta a un servidor IRC de UnrealIRC, se une a un canal de control y espera comandos que le permitan realizar ataques de tráfico de tipo inundación y controlar los bots.
Los ataques también se caracterizan por la ejecución de archivos de programa en C para limpiar los registros de conexión SSH y eliminar rastros de actividad maliciosa de los registros para reducir la visibilidad forense. Además, el kit de herramientas antimalware contiene un componente de "mantenimiento activo" que garantiza que el proceso principal del malware se reinicie en 60 segundos en caso de que una herramienta de seguridad lo finalice.
SSHStalker se distingue por combinar la automatización de ataques masivos con un catálogo de 16 vulnerabilidades distintas que afectan al kernel de Linux, algunas de las cuales se remontan a 2009. Algunas de las fallas utilizadas en el módulo de explotación son CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, y CVE-2010-3437.
La investigación de Flare sobre la infraestructura asociada con el actor de amenazas ha descubierto un extenso repositorio de herramientas ofensivas de código abierto y muestras de malware previamente publicadas. Estos incluyen:
- Rootkits para facilitar el sigilo y la persistencia
- Mineros de criptomonedas
- Un script de Python que ejecuta un binario llamado "website grabber" para robar secretos de Amazon Web Services (AWS) expuestos de los sitios web objetivo
- EnergyMech, un bot de IRC que proporciona capacidades de C2 y ejecución remota de comandos
Se sospecha que el actor de amenazas detrás de la actividad podría ser de origen rumano, dada la presencia de "apodos de estilo rumano, patrones de jerga y convenciones de nomenclatura dentro de los canales de IRC y las listas de palabras de configuración". Además, la huella operativa muestra fuertes coincidencias con la de un grupo conocido como Outlaw (también conocido como Dota).
"SSHStalker no parece centrarse en el desarrollo de nuevos exploits, sino que demuestra control operativo mediante una implementación y orquestación maduras, utilizando principalmente C para el núcleo del bot y los componentes de bajo nivel, shell para la orquestación y la persistencia, y un uso limitado de Python y Perl, principalmente para tareas de automatización de utilidad o de apoyo dentro de la cadena de ataque y la ejecución del bot de IRC", declaró Flare.
El actor de amenazas no está desarrollando ataques Zero-Days ni rootkits novedosos, sino demostrando una sólida disciplina operativa en flujos de trabajo de compromiso masivo, reciclaje de infraestructura y persistencia de cola larga en entornos Linux heterogéneos.
Fuente: THN
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!