Новости Проксиджекинг — новая активная угроза для SSH-серверов

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Как хакеры наживаются на чужих сетевых мощностях, подключая жертв к своим P2P-сетям.


qy2204busi8k94l1inz442416ybuxodq.png


Исследователи компании Akamai Для просмотра ссылки Войди или Зарегистрируйся о хакерах, желающих заработать на чужом трафике. Они ведут активную кампанию по взлому уязвимых SSH -серверов и подключению их к своей сети прокси-узлов.

«Это активная кампания, в которой злоумышленник использует SSH для удалённого доступа, запуская вредоносные скрипты, которые незаметно подключают серверы жертв к одноранговой ( P2P ) прокси-сети, такой как Peer2Profit или Honeygain», — сообщил Аллен Вест, исследователь компании Akamai.

В отличие от криптоджекинга, при котором ресурсы заражённой системы используются для незаконной добычи криптовалюты, проксиджекинг позволяет злоумышленникам задействовать неиспользуемую пропускную способность жертвы для скрытого запуска различных сервисов в качестве P2P-узла.

Это имеет двойную выгоду — не только позволяет атакующему монетизировать дополнительный трафик со значительно меньшей нагрузкой на ресурсы жертвы, но и существенно снижает вероятность обнаружения.

Что ещё хуже, анонимность, предоставляемая прокси-сервисами, может быть мощным оружием в том смысле, что может быть злоупотреблена хакерами для сокрытия источника своих атак, маршрутизируя весь трафик через промежуточные узлы.

Специалисты Akamai, которые обнаружили данную кампанию 8 июня 2023 года, сообщили, что она направлена на взлом уязвимых SSH-серверов и развёртывание обфусцированного скрипта Bash , который, в свою очередь, способен получать необходимые зависимости с заражённого веб-сервера, включая инструмент командной строки «curl» под видом CSS -файла («csdark.css»).

Скрытный скрипт перед запуском также активно ищет и завершает конкурирующие экземпляры подобных вредоносов, которые делятся пропускной способностью жертвы ради прибыли.

Дальнейшее исследование веб-сервера криптопреступников показало, что он также используется для размещения майнера криптовалюты, что свидетельствует о том, что злоумышленники активно занимаются как криптоджекингом, так и проксиджекингом.

Хотя программное обеспечение для обеспечения прокси-соединений само по себе не является злонамеренным, исследователи Akamai отметили, что «некоторые из этих сервисов не проверяют должным образом источник IP -адресов в сети», что подвергает пользователей вполне реальному риску.

Представители Akamai отметили, что стандартные практики безопасности всё также остаются эффективным механизмом предотвращения зловредной деятельности. Надёжные пароли, многофакторная аутентификация, своевременные обновления и тщательное ведение системных журналов — помогут избежать компрометации или хотя бы вовремя её заметить.
 
Источник новости
www.securitylab.ru

Похожие темы