Atacatorii au fost observați efectuând o serie de atacuri de tip proxyjacking care vizează piratarea serverelor SSH vulnerabile. Le monetizează prin servicii proxyware care oferă compensații pentru partajarea lățimii de bandă neutilizate de internet.
Atacatorii folosesc SSH pentru acces de la distanță și execută scripturi rău intenționate pentru a înrola în mod secret serverele victime într-o rețea proxy Peer-to-Peer (P2P), cum ar fi Peer2Proxy sau Honeygain.
Pătrundere în detalii
Pe 8 iunie, Akamai a descoperit pentru prima dată atacurile când s-au făcut numeroase conexiuni SSH la honeypot-urile pe care le gestiona.
Conectându-se cu succes la unul dintre serverele SSH vulnerabile, atacatorii au implementat un script Bash codificat în Base64. Acest scenariu a activat eficient sistemele compromise din rețelele proxy Honeygain sau Peer2Profit.
În plus, scriptul a creat un mediu de container prin descărcarea imaginilor Docker ale rețelelor proxy în timp ce dezactiva containerele concurente de partajare a lățimii de bandă.
Investigațiile ulterioare au dezvăluit prezența minerilor de criptomonede, a exploatărilor și a instrumentelor de hacking pe serverul compromis, ceea ce indică faptul că actorii amenințărilor ar fi putut să treacă complet la proxy jacking sau să-l folosească ca un mijloc suplimentar de obținere a veniturilor pasive.
De ce e important
Proxyjacking a devenit o nouă modalitate prin care infractorii cibernetici pot profita de pe urma dispozitivelor compromise, acoperind atât ecosistemele corporative, cât și cele ale consumatorilor.
Această metodă oferă o alternativă mai ascunsă la criptojacking și introduce consecințe semnificative care exacerba problemele deja create de atacurile proxy layer 7.
Atacuri cunoscute asupra serverelor SSH
Microsoft a anunțat recent o campanie de criptomining în desfășurare care implică deturnarea acreditărilor SSH pentru sistemele Linux și Windows vulnerabile.
Luna trecută, cercetătorii ASEC au descoperit o campanie de botnet Tsunami pe servere SSH prost gestionate. Pe lângă Tsunami, atacatorii au distribuit ShellBot, minerul XMRig și Log Cleaner pentru a efectua atacuri DDoS și criptominări.
Sumar
Chiar și cu apariția de noi rezultate, metodele tradiționale continuă să-și demonstreze eficacitatea. Proxyjacking-ul monetizat este o ilustrare clară a acestui concept și este foarte probabil să vedem apariția unor noi strategii care vizează în mod specific acest tip de atac. Implementarea măsurilor standard de securitate, cum ar fi parole puternice, gestionarea atentă a corecțiilor și înregistrarea cuprinzătoare este o măsură preventivă eficientă.
