Οι νέες επιθέσεις μεσολάβησης δημιουργούν έσοδα από το εύρος ζώνης των διακομιστών SSH που έχουν παραβιαστεί
Related Posts
Οι εισβολείς πίσω από μια συνεχιζόμενη σειρά επιθέσεων μεσολάβησης εισβάλλουν σε ευάλωτους διακομιστές SSH που είναι εκτεθειμένοι στο Διαδίκτυο για να τους δημιουργήσουν έσοδα μέσω υπηρεσιών λογισμικού μεσολάβησης που πληρώνουν για την κοινή χρήση αχρησιμοποίητου εύρους ζώνης Διαδικτύου.
Όπως το cryptojacking, το οποίο επιτρέπει στους επιτιθέμενους να χρησιμοποιούν παραβιασμένα συστήματα για την εξόρυξη κρυπτονομισμάτων, το proxyjacking είναι μια τακτική χαμηλής προσπάθειας και υψηλής ανταμοιβής για την εκτίναξη των πόρων των παραβιασμένων συσκευών.
Ωστόσο, το proxyjacking είναι πιο δύσκολο να εντοπιστεί, επειδή επηρεάζει μόνο το αχρησιμοποίητο εύρος ζώνης των παραβιασμένων συστημάτων και δεν επηρεάζει τη συνολική σταθερότητα και τη χρηστικότητά τους.
Ενώ οι φορείς απειλών μπορούν επίσης να χρησιμοποιήσουν παραβιασμένες συσκευές για να δημιουργήσουν διακομιστές μεσολάβησης που μπορούν να τους βοηθήσουν να κρύψουν τα ίχνη τους και να συσκοτίσουν την κακόβουλη δραστηριότητα, οι εγκληματίες του κυβερνοχώρου πίσω από αυτήν την καμπάνια ενδιαφέρθηκαν μόνο για τη δημιουργία εσόδων μέσω εμπορικών υπηρεσιών διακομιστή μεσολάβησης.
“Πρόκειται για μια ενεργή καμπάνια στην οποία ο εισβολέας αξιοποιεί το SSH για απομακρυσμένη πρόσβαση, εκτελώντας κακόβουλα σενάρια που συγκεντρώνουν κρυφά διακομιστές θυμάτων σε ένα δίκτυο μεσολάβησης peer-to-peer (P2P), όπως το Peer2Proxy ή το Honeygain.”
είπε
Ο ερευνητής ασφαλείας του Akamai, Allen West.
“Αυτό επιτρέπει στον εισβολέα να κερδίσει χρήματα από το επιπλέον εύρος ζώνης ενός ανυποψίαστου θύματος, με μόνο ένα κλάσμα του φόρτου πόρων που θα απαιτούνταν για την κρυπτονομία, με λιγότερες πιθανότητες ανακάλυψης.”
Κατά τη διερεύνηση αυτής της καμπάνιας, ο Akamai βρήκε μια λίστα που περιείχε την IP που ξεκίνησε την έρευνα και τουλάχιστον 16.500 άλλους πληρεξούσιους που μοιράστηκαν σε ένα διαδικτυακό φόρουμ.
Υπηρεσίες λογισμικού μεσολάβησης και κοντέινερ Docker
Ο Akamai εντόπισε για πρώτη φορά τις επιθέσεις στις 8 Ιουνίου, αφού πραγματοποιήθηκαν πολλαπλές συνδέσεις SSH σε honeypots που διαχειριζόταν η Ομάδα Απάντησης Πληροφοριών Ασφαλείας (SIRT) της εταιρείας.
Μόλις συνδεθούν σε έναν από τους ευάλωτους διακομιστές SSH, οι εισβολείς ανέπτυξαν ένα σενάριο Bash με κωδικοποίηση Base64 που πρόσθεσε τα παραβιασμένα συστήματα στα δίκτυα μεσολάβησης του Honeygain ή του Peer2Profit.
Το σενάριο δημιουργεί επίσης ένα κοντέινερ κατεβάζοντας εικόνες Peer2Profit ή Honeygain Docker και σκοτώνοντας κοντέινερ κοινής χρήσης εύρους ζώνης άλλων αντιπάλων.
Η Akamai βρήκε επίσης cryptominers που χρησιμοποιούνται σε επιθέσεις κρυπτογράφησης, εκμεταλλεύσεις και εργαλεία εισβολής στον παραβιασμένο διακομιστή που χρησιμοποιείται για την αποθήκευση του κακόβουλου σεναρίου. Αυτό υποδηλώνει ότι οι παράγοντες της απειλής είτε έχουν στραφεί πλήρως στο proxyjacking είτε το έχουν χρησιμοποιήσει για πρόσθετο παθητικό εισόδημα.
“Το proxyjacking έχει γίνει ο νεότερος τρόπος για τους εγκληματίες του κυβερνοχώρου να κερδίζουν χρήματα από παραβιασμένες συσκευές τόσο σε ένα εταιρικό οικοσύστημα όσο και στο οικοσύστημα των καταναλωτών”, είπε ο West.
“Είναι μια πιο κρυφή εναλλακτική λύση στο cryptojacking και έχει σοβαρές συνέπειες που μπορούν να αυξήσουν τους πονοκεφάλους που ήδη εξυπηρετούν οι επιθέσεις του Layer 7 με μεσολάβηση.”
Αυτή είναι μόνο μία από τις πολλές παρόμοιες καμπάνιες που εγγράφουν συστήματα που παραβιάζουν σε υπηρεσίες λογισμικού μεσολάβησης όπως οι Honeygain, Nanowire, Peer2Profit, IPRoyal και άλλες, όπως
Cisco Talos
και
Ahnlab
αναφέρθηκε προηγουμένως.
Τον Απρίλιο, ο Sysdig εντόπισε επίσης proxyjackers
αξιοποιώντας την ευπάθεια Log4j
για αρχική πρόσβαση, επιτρέποντάς τους να αποκομίζουν κέρδη έως και 1.000 $ για κάθε 100 συσκευές που προστίθενται στο botnet λογισμικού μεσολάβησης.
