Ebury Botnet Malware, 2009 yılından bu yana neredeyse 400.000 Linux sunucusuna sızmayı başarmış. 2023 sonlarına kadar yaklaşık 100.000 sunucu hala bu zararlı yazılımdan etkilenmekte. ESET araştırmacıları, bu finansal amaçlı zararlı yazılım operasyonunu on yıldan fazla süredir izliyor ve 2014 ve 2017 yıllarında yapılan güncellemelerin yük taşıma kapasitesinde önemli değişikliklere neden olduğunu belirtmişler.
Ebury, son zamanlarda gerçekleştirilen bir yasa uygulamasının, geçmiş on beş yıl boyunca zararlı yazılım operasyonlarının izini sürmelerine olanak tanıdığını bildiriyor. ESET, “400.000, neredeyse 15 yıl boyunca gerçekleşen bir sızma sayısıdır. Bu makinelerin hepsi aynı anda sızılmamıştır,” diye açıklıyor. “Sürekli olarak yeni sunucuların sızılması ve diğerlerinin temizlenmesi veya kaldırılması söz konusudur. Elimizdeki veriler, saldırganların sistemlere erişimini ne zaman kaybettiklerini göstermediği için, botnetin belirli bir anındaki boyutunu bilmek zordur.”
Ebury’nin son taktikleri, operatörlerin barındırma sağlayıcılarına sızmayı ve sızdıkları sağlayıcı üzerinde sanal sunucu kiralayan müşterilere yönelik tedarik zinciri saldırıları gerçekleştirmeyi tercih ettiğini gösteriyor. İlk sızma, çalıntı kimlik bilgilerini kullanarak sunuculara erişim sağlamak için gerçekleştirilir. Bir sunucu sızıldığında, zararlı yazılım wtmp’den gelen giriş/çıkış SSH bağlantıları listesini çıkarır ve SSH kimlik doğrulama anahtarlarını çalar. Bu anahtarlar daha sonra diğer sistemlere sızmak için kullanılır. Ebury operatörlerinin topladığı 4.8 milyon bilinen anahtar girişinden, yaklaşık iki milyonunun ana makine adı karmaşıklıkla şifrelenmiş olduğu belirtiliyor. Bu şifrelenmiş ana makine adlarının yaklaşık %40’ı (yaklaşık 800.000) tahmin edilmiş veya kaba kuvvetle çözülmüş.
Alternatif olarak ve mümkün olduğunda, saldırganlar sunucularda çalışan yazılımlardaki bilinen güvenlik açıklarını da kullanarak daha fazla erişim sağlayabilir veya ayrıcalıklarını yükseltebilir. Ebury, barındırma sağlayıcının altyapısını, OpenVZ veya konteyner ana bilgisayarları gibi, birden fazla konteyner veya sanal ortamda Ebury’yi dağıtmak için kullanabilir. Sonraki aşamada, zararlı yazılım operatörleri, bu veri merkezlerindeki hedef sunuculardaki SSH trafiğini, ARP (Adres Çözümleme Protokolü) sahtekarlığı kullanarak kendi kontrolündeki bir sunucuya yönlendirmek için yakalar. Bir kullanıcı SSH aracılığıyla bir sızılmış sunucuya giriş yaptığında, Ebury giriş kimlik bilgilerini yakalar. Sunucuların kripto para cüzdanlarını barındırdığı durumlarda, Ebury, yakalanan kimlik bilgilerini otomatik olarak cüzdanları boşaltmak için kullanabilir.
kaynak: bleepingcomputer