Gli autori delle minacce hanno installato port scanner e strumenti di attacco a dizionario SSH su server SSH Linux mal gestiti per procurarsi quanto più server SSH possile che possono consentire loro di installare successivamente malware aggiuntivi come bot DDoS e CoinMiner. Gli autori delle minacce possono anche scegliere di installare solo scanner e vendere le informazioni violate sul dark web.
“Gli autori delle minacce devono ottenere informazioni sull’obiettivo dell’attacco, ovvero l’indirizzo IP e le credenziali dell’account SSH.”, affermano i ricercatori AhnLab Security Emergency Response Center (ASEC), “A questo scopo viene eseguita la scansione IP per cercare server con il servizio SSH, ovvero la porta 22 attivata, dopodiché viene lanciato un attacco di forza bruta o dizionario per ottenere l’ID e la password.”
Le fasi dell’attacco
Gli attaccanti cercano di indovinare le credenziali SSH di un server eseguendo un elenco di combinazioni di nomi utente e password comuni.
Se il tentativo ha successo, l’autore della minaccia distribuisce altri malware (ShellBot, Tsunami, ChinaZ DDoS Bot e XMRig CoinMiner) inclusi vari scanner, per cercare altri sistemi vulnerabili su Internet e quindi ripetere il processo di attacco propagando l’infezione.
Patching e protezione account amministrativi
ASEC ritiene che questi strumenti siano stati creati dal vecchio team PRG e utilizzati modificati da altri attori come già notificato dal Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) nel 2021. Consiglia inoltre agli amministratori di utilizzare password complesse per i propri account e modificarle periodicamente per proteggere i server da attacchi brute force, oltre che aggiornarli per prevenire attacchi di vulnerabilità e limitarne l’accesso dall’esterno filtrando il traffico tramite firewall.