Было замечено, что злоумышленники провели серию атак проксиджекинга, направленных на взлом уязвимых SSH-серверов. Они монетизируют их с помощью прокси-сервисов, которые обеспечивают компенсацию за совместное использование неиспользуемой полосы пропускания Интернета.
Злоумышленники используют SSH для удаленного доступа и запускают вредоносные сценарии для скрытого подключения серверов-жертв к одноранговой (P2P) прокси-сети, такой как Peer2Proxy или Honeygain. |
Погружение в детали
8 июня Akamai впервые обнаружил атаки, когда были установлены многочисленные SSH-соединения с управляемыми им приманками.
- Успешно подключившись к одному из уязвимых SSH-серверов, злоумышленники реализовали Bash-скрипт, закодированный в Base64. Этот сценарий эффективно включил скомпрометированные системы в прокси-сети Honeygain или Peer2Profit.
- Кроме того, сценарий создал среду контейнера, загрузив образы Docker прокси-сетей и одновременно отключив конкурирующие контейнеры, разделяющие пропускную способность.
- Дальнейшее расследование выявило наличие на скомпрометированном сервере майнеров криптовалюты, эксплойтов и хакерских инструментов, что указывает на то, что субъекты угрозы могли полностью перейти на прокси-джекинг или использовать его в качестве дополнительного средства получения пассивного дохода.
Почему это важно
- Проксиджекинг стал для киберпреступников новым способом получения прибыли от взломанных устройств, охватывающих как корпоративные, так и потребительские экосистемы.
- Этот метод предлагает более скрытую альтернативу криптоджекингу и вводит значительные последствия, которые усугубляют проблемы, уже созданные прокси-атаками уровня 7.
Известные атаки на SSH-серверы
- Недавно Microsoft объявила о продолжающейся кампании криптомайнинга, которая включает в себя перехват учетных данных SSH для уязвимых систем Linux и Windows.
- В прошлом месяце исследователи ASEC обнаружили кампанию по распространению ботнета Tsunami на плохо управляемых SSH-серверах. Помимо Tsunami, злоумышленники распространяли ShellBot, майнер XMRig и Log Cleaner для проведения DDoS-атак и криптомайнинга.
Резюме
Даже с появлением новых результатов традиционные методы продолжают демонстрировать свою эффективность. Монетизированный проксиджекинг служит яркой иллюстрацией этой концепции, и весьма вероятно, что мы станем свидетелями появления новых стратегий, специально ориентированных на этот тип атак. Внедрение стандартных мер безопасности, таких как надежные пароли, тщательное управление исправлениями и всестороннее ведение журналов, является одним из эффективных профилактических мер.
Источник: cyware.com
Переведено: Компания GLT |
