Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một hoạt động botnet mới có tên SSHStalker, dựa vào giao thức truyền thông Internet Relay Chat (IRC) cho mục đích điều khiển và kiểm soát (C2).
"Bộ công cụ này kết hợp các công cụ hỗ trợ tàng hình với các khai thác Linux từ thời cũ: Bên cạnh các công cụ dọn dẹp nhật ký (can thiệp utmp/wtmp/lastlog tampering) và các tạo phẩm kiểu rootkit, tác nhân tấn công còn lưu giữ một danh mục lớn các exploit từ kỷ nguyên Linux 2.6.x (các CVE từ 2009–2010)," công ty an ninh mạng Flare cho biết. "Những exploit này có giá trị thấp đối với các hệ thống hiện đại, nhưng vẫn hiệu quả đối với cơ sở hạ tầng 'bị lãng quên' và các môi trường kế thừa cũ."
SSHStalker kết hợp cơ chế botnet IRC với một hoạt động thỏa hiệp hàng loạt tự động, sử dụng SSH scanner và các scanner có sẵn khác để chiếm quyền điều khiển các hệ thống dễ bị tấn công vào một mạng lưới và đăng ký chúng vào các kênh IRC.
Tuy nhiên, không giống như các chiến dịch khác thường tận dụng các botnet như vậy cho các nỗ lực cơ hội như tấn công từ chối dịch vụ phân tán (DDoS), proxyjacking hoặc đào tiền điện tử, SSHStalker được phát hiện duy trì quyền truy cập liên tục mà không có bất kỳ hành vi hậu khai thác nào tiếp theo.
Hành vi "ngủ đông" này khiến nó trở nên khác biệt, làm dấy lên khả năng cơ sở hạ tầng bị thỏa hiệp đang được sử dụng để chuẩn bị, thử nghiệm hoặc giữ quyền truy cập chiến lược cho việc sử dụng trong tương lai.
Một thành phần cốt lõi của SSHStalker là một Golang scanner quét cổng 22 để tìm các máy chủ có SSH đang mở nhằm mở rộng phạm vi của nó theo kiểu worm. Đồng thời, một số payload cũng được thả, bao gồm các biến thể của một bot điều khiển bằng IRC và một bot tập tin Perl kết nối với máy chủ UnrealIRCd IRC, tham gia một kênh điều khiển và chờ lệnh cho phép nó thực hiện các cuộc tấn công kiểu flood traffic và chiếm quyền điều khiển các bot.
Các cuộc tấn công cũng được đặc trưng bởi việc thực thi các tập tin chương trình C để xóa các nhật ký kết nối SSH và xóa dấu vết hoạt động độc hại khỏi nhật ký nhằm giảm khả năng phát hiện forensic. Hơn nữa, bộ công cụ malware chứa một thành phần "keep-alive" đảm bảo rằng quá trình malware chính được khởi chạy lại trong vòng 60 giây nếu nó bị chấm dứt bởi một công cụ bảo mật.
SSHStalker đáng chú ý vì kết hợp tự động hóa thỏa hiệp hàng loạt với một danh mục gồm 16 lỗ hổng khác nhau ảnh hưởng đến Linux kernel, một số tồn tại từ năm 2009. Một số lỗ hổng được sử dụng trong module exploit là CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, và CVE-2010-3437.
Cuộc điều tra của Flare về cơ sở hạ tầng dàn dựng liên quan đến tác nhân đe dọa đã phát hiện một kho lưu trữ rộng lớn các công cụ tấn công mã nguồn mở và các mẫu malware đã được công bố trước đây. Chúng bao gồm:
- Rootkits để tạo điều kiện tàng hình và duy trì quyền truy cập (persistence)
- Cryptocurrency miners
- Một script Python thực thi một binary có tên "website grabber" để đánh cắp các Amazon Web Services (AWS) secrets bị lộ từ các trang web mục tiêu
- EnergyMech, một IRC bot cung cấp khả năng C2 và thực thi lệnh từ xa
Có nghi ngờ rằng tác nhân đe dọa đứng sau hoạt động này có thể có nguồn gốc từ Romania, dựa trên sự hiện diện của "biệt danh, mẫu tiếng lóng và quy ước đặt tên kiểu Romania trong các kênh IRC và danh sách từ cấu hình." Hơn nữa, dấu vết hoạt động cho thấy sự trùng lặp mạnh mẽ với một nhóm tin tặc được gọi là Outlaw (còn gọi là Dota).
"SSHStalker dường như không tập trung vào việc phát triển exploit mới mà thay vào đó thể hiện khả năng kiểm soát hoạt động thông qua việc triển khai và điều phối trưởng thành, bằng cách chủ yếu sử dụng C cho các thành phần bot và cấp thấp cốt lõi, shell cho việc điều phối và persistence, và sử dụng Python và Perl hạn chế chủ yếu cho các nhiệm vụ tiện ích hoặc hỗ trợ tự động hóa trong chuỗi tấn công và chạy IRCbot," Flare cho biết.
"Tác nhân đe dọa không phát triển zero-days hoặc rootkits mới, mà thể hiện kỷ luật hoạt động mạnh mẽ trong các quy trình thỏa hiệp hàng loạt, tái chế cơ sở hạ tầng và persistence dài hạn trên các môi trường Linux không đồng nhất."
