Investigadores de ciberseguridad han revelado detalles de una nueva operación
de botnet llamada SSHStalker, que se basa en el protocolo de comunicación
Internet Relay Chat (IRC) para fines de comando y control (C2).
«El conjunto de herramientas combina herramientas de ayuda ocultas con la
explotación de sistemas Linux heredados: junto con limpiadores de registros
(alteración de utmp/wtmp/lastlog) y artefactos de tipo rootkit, el actor
mantiene un amplio catálogo de exploits de la era Linux 2.6.x (CVE de
2009-2010)»,
declaró la empresa de ciberseguridad Flare.
«Estos tienen poco valor contra las plataformas modernas, pero siguen
siendo eficaces contra infraestructuras ‘olvidadas’ y entornos heredados de
larga cola».
SSHStalker combina la mecánica de una botnet IRC (como en la década del 2000)
con una operación automatizada de compromiso masivo que utiliza un escáner SSH
y otros escáneres disponibles para integrar sistemas susceptibles en una red e
inscribirlos en canales IRC.
Sin embargo, a diferencia de otras campañas que suelen aprovechar estas
botnets para acciones oportunistas, como ataques de denegación de servicio
distribuido (DDoS), proxyjacking o minería de criptomonedas, se ha
descubierto que
SSHStalker mantiene un acceso persistente sin ningún comportamiento
posterior a la explotación.
Este comportamiento latente lo distingue, planteando la posibilidad de que la
infraestructura comprometida se esté utilizando para pruebas, almacenamiento o
retención estratégica de acceso para uso futuro.
Un componente esencial de SSHStalker es un escáner de Golang que busca el
puerto 22 en servidores con SSH abierto para extender su alcance de forma
similar a un gusano. También se han detectado varias cargas útiles, incluyendo
variantes de un bot controlado por IRC y un bot de archivos Perl que se
conecta a un servidor IRC de UnrealIRC, se une a un canal de control y espera
comandos que le permitan realizar ataques de tráfico de tipo inundación y
controlar los bots.
Los ataques también se caracterizan por la ejecución de archivos de programa
en C para limpiar los registros de conexión SSH y eliminar rastros de
actividad maliciosa de los registros para reducir la visibilidad forense.
Además, el kit de herramientas antimalware contiene un componente de
«mantenimiento activo» que garantiza que el proceso principal del malware se
reinicie en 60 segundos en caso de que una herramienta de seguridad lo
finalice.
SSHStalker se distingue por combinar la automatización de
ataques masivos con un catálogo de 16 vulnerabilidades distintas que afectan al
kernel de Linux, algunas de las cuales se remontan a 2009. Algunas de las fallas
utilizadas en el módulo de explotación son
CVE-2009-2692,
CVE-2009-2698,
CVE-2010-3849,
CVE-2010-1173,
CVE-2009-2267,
CVE-2009-2908,
CVE-2009-3547,
CVE-2010-2959, y
CVE-2010-3437.
La investigación de Flare sobre la infraestructura asociada con el actor de
amenazas ha descubierto un extenso repositorio de herramientas ofensivas de
código abierto y muestras de malware previamente publicadas. Estos incluyen:
- Rootkits para facilitar el sigilo y la persistencia
- Mineros de criptomonedas
-
Un script de Python que ejecuta un binario llamado «website grabber» para robar secretos de Amazon Web Services (AWS) expuestos de los sitios
web objetivo -
EnergyMech, un bot de IRC que proporciona capacidades de C2 y ejecución
remota de comandos
Se sospecha que el actor de amenazas detrás de la actividad podría ser de
origen rumano, dada la presencia de
«apodos de estilo rumano, patrones de jerga y convenciones de nomenclatura
dentro de los canales de IRC y las listas de palabras de configuración». Además, la huella operativa muestra fuertes coincidencias con la de un
grupo conocido como
Outlaw
(también conocido como Dota).
«SSHStalker no parece centrarse en el desarrollo de nuevos exploits, sino
que demuestra control operativo mediante una implementación y orquestación
maduras, utilizando principalmente C para el núcleo del bot y los
componentes de bajo nivel, shell para la orquestación y la persistencia, y
un uso limitado de Python y Perl, principalmente para tareas de
automatización de utilidad o de apoyo dentro de la cadena de ataque y la
ejecución del bot de IRC», declaró Flare.
El actor de amenazas no está desarrollando ataques Zero-Days ni
rootkits novedosos, sino demostrando una sólida disciplina operativa en
flujos de trabajo de compromiso masivo, reciclaje de infraestructura y
persistencia de cola larga en entornos Linux heterogéneos.
Fuente:
THN