Ebury botnet-malware infecteert 400.000 Linux-servers sinds 2009
Door Bill ToulasPublicatie van BleepingComputer
Een malware-botnet dat bekend staat onder de naam 'Ebury' heeft sinds 2009 bijna 400.000 Linux-servers geïnfecteerd, waarvan er vanaf eind 2023 nog ongeveer 100.000 zijn aangetast.
Onderzoekers van ESET volgen de financieel gemotiveerde malware-operatie nu al meer dan tien jaar en waarschuwden voor belangrijke updates in de mogelijkheden van de payload in 2014 en opnieuw in 2017.
Hieronder staan de Ebury infecties die ESET sinds 2009 heeft gelogd, met een opmerkelijke groei in het aantal infecties in de loop der tijd.
Ebury aanvalsvolume in de tijd
Bron: ESET
In de laatste update die vandaag is gepubliceerd, meldt ESET dat een recente wetshandhavingsactie hen in staat heeft gesteld om inzicht te krijgen in de activiteiten van de malwareoperatie in de afgelopen vijftien jaar.
“Hoewel 400.000 een enorm aantal is, is het belangrijk om te vermelden dat dit het aantal compromitteringen is in de loop van bijna 15 jaar. Niet al deze machines zijn op hetzelfde moment gecompromitteerd", legt ESET uit.
“Er is een constante stroom van nieuwe servers die worden gecompromitteerd terwijl andere worden opgeruimd of buiten gebruik worden gesteld. De gegevens waarover we beschikken geven niet aan wanneer de aanvallers de toegang tot de systemen zijn kwijtgeraakt, dus het is moeilijk om de omvang van het botnet op een bepaald moment te bepalen.”
De nieuwste tactieken van Ebury
Recente aanvallen van Ebury laten een voorkeur zien van de operators om hostingproviders binnen te dringen en aanvallen uit te voeren op klanten die virtuele servers huren bij de gecompromitteerde provider.De aanvankelijke compromittering wordt uitgevoerd via “credential stuffing”-aanvallen, waarbij gestolen referenties worden gebruikt om in te loggen op de servers.
Zodra een server is gecompromitteerd, exfiltreert de malware een lijst van inkomende/uitgaande SSH-verbindingen uit wtmp en het known_hosts bestand en steelt SSH-authenticatiesleutels, die vervolgens worden gebruikt om te proberen in te loggen op andere systemen.
“Wanneer het known_hosts bestand gehashte informatie bevat, proberen de daders de inhoud ervan te brute-forcen,” leest het gedetailleerde rapport van ESET.
“Van de 4,8 miljoen known_hosts entries die door Ebury operators zijn verzameld, was van ongeveer twee miljoen de hostnaam gehasht. 40% (ongeveer 800.000) van deze gehashte hostnamen werden geraden of geforceerd.”
Als alternatief, en waar mogelijk, kunnen de aanvallers ook gebruik maken van bekende kwetsbaarheden in de software die op de servers draait om verdere toegang te krijgen of hun privileges te verhogen.
Ebury aanvalsketen
Bron: ESET
De infrastructuur van de hostingprovider, inclusief OpenVZ of containerhosts, kan worden gebruikt om Ebury in meerdere containers of virtuele omgevingen te implementeren.
In de volgende fase onderscheppen de beheerders van de malware SSH-verkeer op de beoogde servers binnen die datacenters door ARP-spoofing (Address Resolution Protocol) te gebruiken om het verkeer om te leiden naar een server onder hun controle.
Zodra een gebruiker via SSH inlogt op een gecompromitteerde server, legt Ebury de inloggegevens vast.
Ebury aanvalsketen
Bron: ESET
De infrastructuur van de hostingprovider, inclusief OpenVZ of containerhosts, kan worden gebruikt om Ebury in meerdere containers of virtuele omgevingen te implementeren.
In de volgende fase onderscheppen de beheerders van de malware SSH-verkeer op de beoogde servers binnen die datacenters door ARP-spoofing (Address Resolution Protocol) te gebruiken om het verkeer om te leiden naar een server onder hun controle.
Zodra een gebruiker via SSH inlogt op een gecompromitteerde server, legt Ebury de inloggegevens vast.
Aanval in het midden tactiek
Bron: ESET
In gevallen waarin servers cryptocurrency wallets hosten, gebruikt Ebury de vastgelegde referenties om de wallets automatisch te legen.
Volgens ESET richtte Ebury zich in 2023 op ten minste 200 servers met deze methode, waaronder Bitcoin- en Ethereum-knooppunten.
De strategieën om geld te verdienen variëren echter en omvatten ook het stelen van creditcardgegevens die op betaalsites worden ingevoerd, het omleiden van webverkeer om inkomsten te genereren uit advertenties en partnerprogramma's, het gebruik van gecompromitteerde servers om spam te versturen en het verkopen van de buitgemaakte referenties.
Processen waarbij de belangrijkste payload wordt geïnjecteerd
Bron: ESET
Eind 2023 zegt ESET de introductie van nieuwe obfuscatietechnieken en een nieuw domain generation algorithm (DGA)-systeem te hebben waargenomen waarmee het botnet detectie kan omzeilen en zijn veerkracht tegen blokkades kan verbeteren.
De malwaremodules die via het Ebury-botnet worden verspreid, gebaseerd op de meest recente waarnemingen van ESET, zijn:
- HelimodProxy: Proxies van onbewerkt verkeer en doorsturen van spam door de Apache-module mod_dir.so aan te passen, waardoor de gecompromitteerde server willekeurige opdrachten kan uitvoeren en spamcampagnes kan ondersteunen.
- HelimodRedirect: Leidt HTTP-verkeer om naar websites die door aanvallers worden gecontroleerd door verschillende Apache- en nginx-modules aan te passen om een klein percentage van het webverkeer om te leiden naar schadelijke sites.
- HelimodSteal: Exfiltreert gevoelige informatie uit HTTP POST-verzoeken door een invoerfilter toe te voegen dat gegevens onderschept en steelt die via webformulieren worden verzonden, zoals inloggegevens en betalingsgegevens.
- KernelRedirect: Wijzigt HTTP-verkeer op kernelniveau om bezoekers om te leiden met behulp van een Linux-kernelmodule die in Netfilter haakt en de Location-header in HTTP-reacties wijzigt om gebruikers om te leiden naar schadelijke URL's.
- FrizzySteal: Onderschept en exfiltreert HTTP-verzoeken door in te haken op libcurl, waardoor het gegevens van HTTP-verzoeken van de gecompromitteerde server kan vastleggen en stelen.
De malwaremodules van Ebury
Bron: ESET
Het nieuwste onderzoek van ESET werd uitgevoerd in samenwerking met de Nederlandse National High Tech Crime Unit (NHTCU), die onlangs een back-upserver in beslag nam die door de cybercriminelen werd gebruikt.
De Nederlandse autoriteiten zeggen dat Ebury-actoren valse of gestolen identiteiten gebruiken (via de Vidar Stealer) en soms zelfs de naam aannemen van andere cybercriminelen om rechtshandhaving te misleiden.
Het NHTCU onderzoekt bewijsmateriaal dat op die server is gevonden, waaronder virtuele machines met webbrowserartefacten zoals geschiedenis en opgeslagen logins, maar er zijn nog geen concrete toeschrijvingen gedaan.