เซิร์ฟเวอร์ Linux จำนวน 400,000 เครื่อง ถูกโจมตีโดยบอตเน็ต Ebury

177/67 (IT) ประจำวันศุกร์ที่ 17 พฤษภาคม 2567

ESET รายงานว่ามีการขยายตัวของบอตเน็ต Ebury Linux ยังคงดำเนินต่อไปอย่างต่อเนื่องตลอดทศวรรษที่ผ่านมา โดยมีการระบุระบบที่ติดไวรัสประมาณ 100,000 ระบบ ณ สิ้นปี 2023 Ebury เป็นแบ็คดอร์ OpenSSH และมีความสามารถในการขโมยข้อมูลรับรอง ได้รับการอัปเดตอย่างต่อเนื่อง ซึ่งคาดว่าจะมีโฮสต์ติดมัลแวร์มากกว่า 400,000 เครื่อง และถูกนำไปใช้ในทางที่ผิดเพื่อผลประโยชน์ทางการเงิน มีการสับเปลี่ยนเซิร์ฟเวอร์ใหม่ ๆ อย่างต่อเนื่องในขณะที่เซิร์ฟเวอร์อื่น ๆ ก็กำลังถูกล้างข้อมูลหรือเลิกใช้งาน บ็อตเน็ตมีจำนวนระบบที่ติดอยู่ถึง 110,000 ระบบ ในปี 2566 หลังจากโจมตีผู้ให้บริการโฮสติ้งรายใหญ่และแพร่ระบาดไปยังเซิร์ฟเวอร์ประมาณ 70,000 เครื่อง ในความเป็นจริง ระบบที่ติดมัลแวร์จำนวนมากเป็นเซิร์ฟเวอร์ที่เกี่ยวข้องกับผู้ให้บริการโฮสติ้ง ซึ่งช่วยให้ผู้โจมตีสามารถดักจับการรับส่งข้อมูล SSH ของเป้าหมายที่น่าสนใจ และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีเพื่อบันทึกข้อมูลการเข้าสู่ระบบ นอกจากนี้ ยังพบว่าผู้ดำเนินการมัลแวร์กำหนดเป้าหมายไปยังโหนดทางออกของ Tor พร้อมกับโหนด Bitcoin และ Ethereum เพื่อขโมยกระเป๋าเงินดิจิทัลที่โฮสต์อยู่ รวมถึงการดักฟังการรับส่งข้อมูลเครือข่ายเพื่อขโมยข้อมูลบัตรเครดิต และยังพบว่ามีการใช้ประโยชน์จากช่องโหว่แบบซีโร่เดย์ เช่น CVE-2021-45467 ปัญหาการรวมไฟล์ที่ไม่ได้รับการรับรองความถูกต้องในแผงควบคุมเว็บโฮสติ้งแผงควบคุม (CWP) และ CVE-2016-5195 (Dirty COW) ที่สามารถนำไปสู่การยกระดับสิทธิ์ได้    

กลุ่มอาชญากรไซเบอร์เช่น HelimodSteal และ HelimodRedirect ยังมีการใช้มัลแวร์ดังกล่าวเพื่อขโมยคำขอ HTTP หรือเปลี่ยนเส้นทาง กิจกรรมล่าสุดของ Ebury แสดงให้เห็นถึงการเปลี่ยนแปลงในกลยุทธ์การสร้างรายได้ ซึ่งรวมถึงการขโมยข้อมูลสกุลเงินดิจิทัลและบัตรเครดิต การส่งสแปม และการขโมยข้อมูลประจำตัว เพื่อสิ่งนั้น ผู้ปฏิบัติงานได้ใช้โมดูล Apache เฉพาะ โมดูลเคอร์เนล เครื่องมือในการซ่อนการรับส่งข้อมูลผ่านไฟร์วอลล์ และสคริปต์เพื่อติดตั้งการโจมตี AitM จากข้อมูลของ ESET ผู้ให้บริการ Ebury ได้ติดตั้งการโจมตี AitM กับเป้าหมายอย่างน้อย 200 เป้าหมาย ใน 34 ประเทศ รวมถึงโหนด Bitcoin และ Ethereum ที่สามารถเข้าถึงได้

แหล่งข่าว https://www.securityweek.com/400000-linux-servers-hit-by-ebury-botnet/