ShellBot, Linux SSH Sunucularına Yönelik Saldırılarda Tespit Edilmekten Kaçınmak için Hex IP'leri Kullanıyor
ShellBot'un arkasındaki tehdit aktörleri, kötü yönetilen Linux SSH sunucularına sızmak ve DDoS kötü amaçlı yazılımını dağıtmak için onaltılık gösterimine dönüştürülmüş IP adreslerinden yararlanıyor.
ShellBot'un arkasındaki tehdit aktörleri, kötü yönetilen Linux SSH sunucularına sızmak ve DDoS kötü amaçlı yazılımını dağıtmak için onaltılık gösterimine dönüştürülmüş IP adreslerinden yararlanıyor.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) bugün yayınlanan yeni bir raporda, "Genel akış aynı kalıyor, ancak tehdit aktörü tarafından ShellBot'u yüklemek için kullanılan indirme URL'si normal bir IP adresinden onaltılık bir değere değişti" dedi.
PerlBot adıyla da bilinen ShellBot'un, DDoS saldırıları düzenlemek ve kripto para madencileri sunmak için bir kanal olarak kullanılan kötü amaçlı yazılımla, bir sözlük saldırısı yoluyla zayıf SSH kimlik bilgilerine sahip sunucuları ihlal ettiği bilinmektedir.
Perl'de geliştirilen kötü amaçlı yazılım, bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak için IRC protokolünü kullanır.
ShellBot'u içeren en son gözlemlenen saldırı grubunun, kötü amaçlı yazılımı onaltılık IP adresleri kullanarak yüklediği bulundu – hxxp://0x2763da4e/ bu da 39.99.218'e karşılık geliyor[.] 78 – URL tabanlı algılama imzalarından kaçınma girişimi olarak görülen şeyde.
ASEC, "İndirme için curl kullanımı ve tıpkı web tarayıcıları gibi onaltılık özellikleri sayesinde ShellBot, bir Linux sistem ortamında başarıyla indirilebilir ve Perl aracılığıyla yürütülebilir" dedi.
Gelişme, ShellBot'un Linux sistemlerine yönelik saldırılar başlatmak için sürekli kullanıma tanık olmaya devam ettiğinin bir işaretidir.
ShellBot, ek kötü amaçlı yazılım yüklemek veya güvenliği ihlal edilmiş sunucudan farklı türde saldırılar başlatmak için kullanılabildiğinden, kullanıcıların güçlü parolalara geçmeleri ve kaba kuvvet ve sözlük saldırılarına direnmek için bunları periyodik olarak değiştirmeleri önerilir.
Açıklama ayrıca, ASEC'in saldırganların Lumma Stealer ve RecordBreaker olarak bilinen RedLine Stealer'ın bir çeşidi gibi bilgi hırsızı kötü amaçlı yazılımlarını dağıtmak amacıyla Konu Adı ve Veren Adı alanları için alışılmadık derecede uzun dizelerle anormal sertifikaları silahlandırdığını ortaya çıkarmasıyla geldi.
ASEC, "Bu tür kötü amaçlı yazılımlar, arama motorları aracılığıyla kolayca erişilebilen kötü amaçlı sayfalar aracılığıyla dağıtılır (SEO zehirlenmesi) ve çok çeşitli belirtilmemiş kullanıcılar için bir tehdit oluşturur" dedi. "Bu kötü amaçlı sayfalar öncelikle diziler, keygenler ve crack'ler gibi yasa dışı programlarla ilgili anahtar kelimeler kullanıyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı