TokyoBlackHatNews

cyberpress.org 5分で読了

自動化されたSSHパイプラインがIRCボットネットの復活を加速

SSHStalkerと名付けられた新たに発見されたLinuxボットネットキャンペーンは、古典的なIRCベースのコマンド&コントロールインフラを復活させており、自動化されたSSHブルートフォース攻撃とレガシーマルウェアツールキットを組み合わせて、数千のLinuxシステムを大規模に登録しています。

古い技術を多用しているにもかかわらず、研究者によるとこの活動はステルス性よりも反復可能な大規模侵害に高度に最適化されているとのことです。

SSHStalkerの中核は、「nmap」に偽装されたGolangベースのスキャナーを使用して、ポート22が開いているインターネットに面したシステムを特定します。侵害されたホストに展開されると、スキャナーは追加の脆弱なSSHサーバーを検索し、ワームのような伝播を可能にします。

回収された結果ファイルには、2026年1月に新たにスキャンされた約7,000のSSHターゲットが表示されており、Oracle Cloud ASNブロックを含むクラウドホスティング範囲に大きく集中していました。

アクセスを獲得した後、攻撃者はGCCをダウンロードし、被害者のマシン上で直接複数のCベースのIRCボットバリアントをコンパイルします。

2つの主要なCファイル(1.cと2.c)は、ハードコードされたチャンネルキーを使用して、別々のIRCサーバーgsm[.]ftp[.]sh(#auto)とplm[.]ftp[.]sh(#xx)に接続します。

この冗長性により、1つのサーバーがオフラインになっても制御が確保されます。追加のペイロードは圧縮アーカイブで到着し、より多くのIRCボット(CとPerl)、権限昇格ヘルパー、およびログクリーニングユーティリティが含まれています。

ボットネットの制御構造は、最新の暗号化されたC2フレームワークではなく、従来のIRCメカニズムに依存しています。複数のボットバリアントがIRCチャンネルに参加し、コマンドを待機し、DDoSスタイルの攻撃機能をサポートします。

Perlベースのボットは、システムプロセスに溶け込むためにプロセス名を「-bash」に設定します。同時に、他のコンポーネントはutmp、wtmp、lastlogファイルを操作してSSHアクセスの痕跡を消去します。

永続性は意図的にノイジーですが効果的です。マルウェアは毎分実行されるcronジョブをインストールし、更新スクリプトを起動します。

このウォッチドッグは、ボットプロセスがまだ実行されているかどうかをチェックし、終了した場合は再起動します。防御者がcronエントリを削除せずにプロセスを強制終了した場合、ボットは通常60秒以内に復帰します。

SSHStalkerには、CVE-2009-2692CVE-2010-3849など、2009年と2010年からのCVEを含む、2.6.x時代のシステムを対象としたLinuxカーネルエクスプロイトの広範なアーカイブも同梱されています。

最新のパッチが適用されたインフラストラクチャに対してはほとんど効果がありませんが、これらのエクスプロイトはレガシーVPSイメージ、組み込みデバイス、およびメンテナンスされていないロングテールサーバーに対しては依然として有効です。

研究者は、インターネットに面したLinuxサーバーの1〜3%が露出していると推定しており、古いホスティング環境ではさらに高くなります。

ツールキットには、複数のルートキットクラスのアーティファクト(brk、ptraceなど)と、ハードコードされたウォレットアドレスで構成されたPhoenixMinerやCamelotベースのマイナーなどの暗号通貨マイニングコンポーネントが含まれています。

これらは暗号マイニングによる収益化を示唆していますが、観察されたハニーポット感染では即座のDDoSやマイニング活動は見られませんでした。代わりに、このキャンペーンは休眠状態の永続性を優先しているようです。最初に感染し、後で収益化します。

脅威インテリジェンス分析は、SSHブルートフォースステージング、cron永続性、多層ペイロードパッケージング、およびニックネームランダム化によるIRCチャンネルカモフラージュなど、Outlaw/Maxlasスタイルの操作を含む、歴史的なルーマニアリンクのボットネットとの構造的類似性を示しています。

ただし、直接的なOutlaw識別子は見つからなかったため、確認された帰属ではなく派生または模倣オペレーターを示唆しています。

研究者はまた、「AKIA」のような正規表現パターンを使用して、露出したAWSキーについて33,000以上のウェブサイトパスをスキャンできるウェブ偵察キットを発見しました。

このバイナリには、マルチスレッドHTTPスキャン、TLSサポート、DNS-over-HTTPS、プロキシ処理が含まれており、SSH侵害を超えた資格情報収集への追加の焦点を示しています。

防御者は、特に/tmpや/dev/shmなどのディレクトリで、本番サーバー上でのGCCや実行を監視する必要があります。コンパイル直後に新しいバイナリが実行されると、アラートがトリガーされる必要があります。

永続的なアウトバウンドIRC接続と毎分実行されるcronジョブは、信頼性の高い指標です。

SSHStalkerは、古いIRCベースのボットネットが自動化されたSSH侵害パイプラインと組み合わされた場合、依然として実行可能であることを示しています。

ステルス性よりも規模、冗長性、信頼性を優先することで、オペレーターは数十年前のインフラストラクチャ技術を使用して、依然として回復力のあるLinuxボットネットを構築できます。

翻訳元: https://cyberpress.org/irc-botnet-exploits-ssh/

ソース: cyberpress.org
#IRC C2 #Linuxボットネット #persistence機構 #SSH ブルートフォース #SSHStalker #マルウェア #ルートキット #暗号通貨マイニング #権限昇格 #脅威インテリジェンス

関連記事

認証バイパス及びRCE攻撃に悪用されるApache OFBizの脆弱性

Drupalコアの重大な脆弱性がWebサイトを攻撃にさらす

TamperedChefマルウェアが署名付き生産性アプリを悪用してスティーラーを配信