Een malware-botnet gebeld Ebury Er wordt geschat dat er sinds 2009 400.000 Linux-servers zijn gecompromitteerd, waarvan er eind 2023 nog ruim 100.000 gecompromitteerd waren.
De bevindingen zijn afkomstig van het Slowaakse cyberbeveiligingsbedrijf ESET, dat het typeerde als een van de meest geavanceerde server-side malwarecampagnes voor financieel gewin.
“Ebury-actoren hebben activiteiten ondernomen om inkomsten te genereren (…), waaronder de verspreiding van spam, omleidingen van webverkeer en het stelen van inloggegevens”, zei beveiligingsonderzoeker Marc-Etienne M.Léveillé in een diepgaande analyse.
“(De) operators zijn ook betrokken bij overvallen op cryptocurrency door gebruik te maken van AitM en het stelen van creditcards via het afluisteren van netwerkverkeer, algemeen bekend als webskimming op de server.”
Ebury werd meer dan tien jaar geleden voor het eerst gedocumenteerd als onderdeel van een campagne met de codenaam Operation Windigo die zich richtte op Linux-servers om de malware in te zetten, naast andere backdoors en scripts zoals Cdorked en Calfbot om respectievelijk webverkeer om te leiden en spam te verzenden.
Vervolgens werd in augustus 2017 een Russische staatsburger genaamd Maxim Senakh in de VS veroordeeld tot bijna vier jaar gevangenisstraf vanwege zijn rol in de ontwikkeling en het onderhoud van de botnet-malware.
“Senakh en zijn mede-samenzweerders gebruikten het Ebury-botnet om internetverkeer te genereren en om te leiden ter bevordering van verschillende klikfraude- en spam-e-mailprogramma’s, die op frauduleuze wijze miljoenen dollars aan inkomsten genereerden”, zei het Amerikaanse ministerie van Justitie destijds.
“Als onderdeel van zijn pleidooi gaf Senakh toe dat hij de criminele onderneming steunde door accounts aan te maken bij domeinregistreerders die hielpen bij de ontwikkeling van de Ebury-botnetinfrastructuur en persoonlijk profiteerden van verkeer gegenereerd door het Ebury-botnet.”
Het onderzoek van ESET heeft verschillende methoden aan het licht gebracht die de aanvallers gebruiken om Ebury te leveren, waaronder methoden zoals diefstal van SSH-inloggegevens, credential stuffing, het infiltreren van de infrastructuur van de hostingprovider, misbruik van fouten in Control Web Panel (bijv. CVE-2021-45467) en SSH-tegenstanders. -in-the-middle-aanvallen (AitM).
Er is ook waargenomen dat de dreigingsactoren valse of gestolen identiteiten gebruiken om hun sporen uit te wissen, om nog maar te zwijgen van het compromitteren van de infrastructuur die door andere daders met de malware wordt gebruikt om hun doelen te bereiken en de toeschrijvingsinspanningen te verwarren.
“Een voorbeeld is het compromitteren van servers die verantwoordelijk zijn voor het verzamelen van gegevens van Vidar Stealer”, aldus ESET. “Ebury-acteurs gebruikten de gestolen identiteiten verkregen via Vidar Stealer voor het huren van serverinfrastructuur en bij hun activiteiten, waardoor wetshandhavingsinstanties de verkeerde kant op werden gestuurd.”
In een ander geval zou Ebury zijn gebruikt om een van de systemen van de auteur van het Mirai-botnet te doorbreken en de code te stelen lang voordat deze openbaar werd gemaakt.
De malware fungeert ook als achterdeur en SSH-referentiesteler, waardoor aanvallers de mogelijkheid krijgen om extra payloads zoals HelimodSteal, HelimodProxy en HelimodRedirect in te zetten en hun aanwezigheid binnen een gecompromitteerd netwerk uit te breiden. De nieuwste versie van Ebury die tot nu toe bekend is, is 1.8.2.
“Deze tools hebben het gemeenschappelijke doel om via verschillende methoden inkomsten te genereren met de servers die ze compromitteren”, aldus ESET. “De manier waarop servers inkomsten genereren varieert van diefstal van creditcardgegevens en het stelen van cryptocurrency tot het omleiden van verkeer, het verzenden van spam en het stelen van inloggegevens.”
Hoewel HelimodSteal, HelimodRedirect en HelimodProxy allemaal HTTP-servermodules zijn die worden gebruikt voor het onderscheppen van HTTP POST-verzoeken aan de webserver, het omleiden van HTTP-verzoeken naar advertenties en het proxyverkeer om spam te verzenden, maakt de groep ook gebruik van een kernelmodule genaamd KernelRedirect die een Netfilter implementeert. hook om HTTP-verkeer te wijzigen om omleiding uit te voeren.
Er wordt ook software gebruikt om kwaadaardig verkeer door de firewall te verbergen en door te laten, evenals Perl-scripts om grootschalige AitM-aanvallen uit te voeren binnen de datacentra van hostingproviders om waardevolle doelen te doorbreken en cryptocurrency uit hun portemonnee te stelen.
HelimodSteal is ook ontworpen om creditcardgegevens vast te leggen die door een slachtoffer naar een online winkel zijn verzonden, effectief als een webskimmer aan de serverzijde om de informatie te extraheren die door de geïnfecteerde server is ontvangen.
In een alternatieve keten van gebeurtenissen kunnen de financiële gegevens worden verkregen via Ebury of FrizzySteal, een kwaadaardige gedeelde bibliotheek die in libcurl wordt geïnjecteerd en verzoeken van de gecompromitteerde server kan exfiltreren naar externe HTTP-servers, zoals een betalingsverwerker.
“Omdat beide binnen de webserver of applicatie werken, kan end-to-end-encryptie (HTTPS) geen bescherming bieden tegen deze dreiging”, aldus ESET.
“Toegang tot servers die worden gebruikt voor gedeelde hosting geeft hen toegang tot veel niet-gecodeerd webverkeer, dat ze gebruiken voor heimelijke omleiding of het vastleggen van gegevens die zijn ingediend in online formulieren.”