ShellBot, Linux SSH Sunucularına Yönelik Saldırılarda Tespit Edilmekten Kaçınmak için Hex IP'leri Kullanıyor

ShellBot'un arkasındaki tehdit aktörleri, kötü yönetilen Linux SSH sunucularına sızmak ve DDoS kötü amaçlı yazılımını dağıtmak için onaltılık gösterimine dönüştürülmüş IP adreslerinden yararlanıyor.

AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) bugün yayınlanan yeni bir raporda, "Genel akış aynı kalıyor, ancak tehdit aktörü tarafından ShellBot'u yüklemek için kullanılan indirme URL'si normal bir IP adresinden onaltılık bir değere değişti" dedi.

PerlBot adıyla da bilinen ShellBot'un, DDoS saldırıları düzenlemek ve kripto para madencileri sunmak için bir kanal olarak kullanılan kötü amaçlı yazılımla, bir sözlük saldırısı yoluyla zayıf SSH kimlik bilgilerine sahip sunucuları ihlal ettiği bilinmektedir.

Perl'de geliştirilen kötü amaçlı yazılım, bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak için IRC protokolünü kullanır.

ShellBot'u içeren en son gözlemlenen saldırı grubunun, kötü amaçlı yazılımı onaltılık IP adresleri kullanarak yüklediği bulundu – hxxp://0x2763da4e/ bu da 39.99.218'e karşılık geliyor[.] 78 – URL tabanlı algılama imzalarından kaçınma girişimi olarak görülen şeyde.

ASEC, "İndirme için curl kullanımı ve tıpkı web tarayıcıları gibi onaltılık özellikleri sayesinde ShellBot, bir Linux sistem ortamında başarıyla indirilebilir ve Perl aracılığıyla yürütülebilir" dedi.

Gelişme, ShellBot'un Linux sistemlerine yönelik saldırılar başlatmak için sürekli kullanıma tanık olmaya devam ettiğinin bir işaretidir.

ShellBot, ek kötü amaçlı yazılım yüklemek veya güvenliği ihlal edilmiş sunucudan farklı türde saldırılar başlatmak için kullanılabildiğinden, kullanıcıların güçlü parolalara geçmeleri ve kaba kuvvet ve sözlük saldırılarına direnmek için bunları periyodik olarak değiştirmeleri önerilir.

Açıklama ayrıca, ASEC'in saldırganların Lumma Stealer ve RecordBreaker olarak bilinen RedLine Stealer'ın bir çeşidi gibi bilgi hırsızı kötü amaçlı yazılımlarını dağıtmak amacıyla Konu Adı ve Veren Adı alanları için alışılmadık derecede uzun dizelerle anormal sertifikaları silahlandırdığını ortaya çıkarmasıyla geldi.

ASEC, "Bu tür kötü amaçlı yazılımlar, arama motorları aracılığıyla kolayca erişilebilen kötü amaçlı sayfalar aracılığıyla dağıtılır (SEO zehirlenmesi) ve çok çeşitli belirtilmemiş kullanıcılar için bir tehdit oluşturur" dedi. "Bu kötü amaçlı sayfalar öncelikle diziler, keygenler ve crack'ler gibi yasa dışı programlarla ilgili anahtar kelimeler kullanıyor."

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği