Server SSH vulnerabili cooptati per il mining e attacchi DDoS

Gli autori delle minacce hanno installato port scanner e strumenti di attacco a dizionario SSH su server SSH Linux mal gestiti per procurarsi quanto più server SSH possile che possono consentire loro di installare successivamente malware aggiuntivi come bot DDoS e CoinMiner. Gli autori delle minacce possono anche scegliere di installare solo scanner e vendere le informazioni violate sul dark web.

Gli autori delle minacce devono ottenere informazioni sull’obiettivo dell’attacco, ovvero l’indirizzo IP e le credenziali dell’account SSH.”, affermano i ricercatori AhnLab Security Emergency Response Center (ASEC), “A questo scopo viene eseguita la scansione IP per cercare server con il servizio SSH, ovvero la porta 22 attivata, dopodiché viene lanciato un attacco di forza bruta o dizionario per ottenere l’ID e la password.”

Le fasi dell’attacco

Gli attaccanti cercano di indovinare le credenziali SSH di un server eseguendo un elenco di combinazioni di nomi utente e password comuni.

Fonte ASEC

Se il tentativo ha successo, l’autore della minaccia distribuisce altri malware (ShellBot, Tsunami, ChinaZ DDoS Bot e XMRig CoinMiner) inclusi vari scanner, per cercare altri sistemi vulnerabili su Internet e quindi ripetere il processo di attacco propagando l’infezione.

Fonte ASEC

Patching e protezione account amministrativi

ASEC ritiene che questi strumenti siano stati creati dal vecchio team PRG e utilizzati modificati da altri attori come già notificato dal Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) nel 2021. Consiglia inoltre agli amministratori di utilizzare password complesse per i propri account e modificarle periodicamente per proteggere i server da attacchi brute force, oltre che aggiornarli per prevenire attacchi di vulnerabilità e limitarne l’accesso dall’esterno filtrando il traffico tramite firewall.

Su Salvatore Lombardo 350 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.