Un botnet malveillant connu sous le nom de « Ebury » a infecté près de 400 000 serveurs Linux depuis 2009, dont environ 100 000 étaient encore compromis fin 2023.

Les chercheurs d’ESET suivent l’opération de logiciels malveillants à motivation financière depuis plus d’une décennie maintenant, mettant en garde contre des mises à jour importantes des capacités de la charge utile en 2014 et à nouveau en 2017.

Vous trouverez ci-dessous les infections à Ebury enregistrées par ESET depuis 2009, montrant une croissance notable du volume d’infections au fil du temps.

Volume d’attaque d’Ebury au fil du temps

Dans la dernière mise à jour publiée aujourd’hui, ESET rapporte qu’une récente mesure d’application de la loi leur a permis d’avoir un aperçu des activités de l’opération de logiciels malveillants au cours des quinze dernières années.

« Bien que 400 000 soit un nombre énorme, il est important de mentionner que c’est le nombre de compromis sur près de 15 ans. Toutes ces machines n’ont pas été compromises en même temps », explique ESET.

« Il y a un roulement constant de nouveaux serveurs compromis tandis que d’autres sont nettoyés ou mis hors service. Les données à notre disposition n’indiquent pas quand les attaquants ont perdu l’accès aux systèmes, il est donc difficile de connaître la taille du botnet à un moment précis. »

Les dernières tactiques d’Ebury
Les récentes attaques d’Ebury montrent une préférence des opérateurs pour violer les fournisseurs d’hébergement et effectuer des attaques de la chaîne d’approvisionnement auprès des clients louant des serveurs virtuels sur le fournisseur compromis.

La compromission initiale est effectuée via des attaques de bourrage d’informations d’identification, en utilisant des informations d’identification volées pour se connecter aux serveurs.

Une fois qu’un serveur est compromis, le logiciel malveillant exfiltrera une liste de connexions SSH entrantes / sortantes de wtmp et du fichier known_hosts et dérobera les clés d’authentification SSH, qui sont ensuite utilisées pour essayer de se connecter à d’autres systèmes.

« Lorsque le fichier known_hosts contient des informations hachées, les auteurs tentent de forcer brutalement son contenu », lit-on dans le rapport détaillé d’ESET.

« Sur 4,8 millions d’entrées known_hosts collectées par les opérateurs d’Ebury, environ deux millions ont vu leur nom d’hôte haché. 40% (environ 800 000) de ces noms d’hôtes hachés ont été devinés ou forcés brutalement. »

Alternativement, et dans la mesure du possible, les attaquants peuvent également exploiter des vulnérabilités connues dans le logiciel exécuté sur les serveurs pour obtenir un accès supplémentaire ou élever leurs privilèges.

Chaîne d’attaque d’Ebury

L’infrastructure du fournisseur d’hébergement, y compris OpenVZ ou les hôtes de conteneurs, peut être exploitée pour déployer Ebury sur plusieurs conteneurs ou environnements virtuels.

Dans la phase suivante, les opérateurs de logiciels malveillants interceptent le trafic SSH sur les serveurs ciblés au sein de ces centres de données en utilisant l’usurpation ARP (Address Resolution Protocol) pour rediriger le trafic vers un serveur sous leur contrôle.

Une fois qu’un utilisateur se connecte à un serveur compromis via SSH, Ebury capture les informations d’identification de connexion.

Tactique d’attaque au milieu

Dans les cas où les serveurs hébergent des portefeuilles de crypto-monnaie, Ebury utilise les informations d’identification capturées pour vider automatiquement les portefeuilles.

ESET dit qu’Ebury a ciblé au moins 200 serveurs en utilisant cette méthode tout au long de 2023, y compris les nœuds Bitcoin et Ethereum.

Les stratégies de monétisation varient, cependant, et elles incluent également le vol des informations de carte de crédit saisies sur les sites de paiement, la redirection du trafic Web pour générer des revenus à partir des publicités et des programmes d’affiliation, l’utilisation de serveurs compromis pour envoyer du spam et la vente des informations d’identification capturées.

Processus où la charge utile principale est injectée

Fin 2023, ESET dit avoir observé l’introduction de nouvelles techniques d’obscurcissement et d’un nouveau système d’algorithme de génération de domaine (DGA) qui permet au botnet d’échapper à la détection et d’améliorer sa résilience contre les blocages.

Les modules malveillants se propagent via le botnet Ebury, sur la base des dernières observations d’ESET, sont:

  • Heli mod Proxy: Proxy le trafic brut et relaie le spam en modifiant le mod_dir.so Module Apache, permettant au serveur compromis d’exécuter des commandes arbitraires et de prendre en charge les campagnes de spam.
  • Heli mod Redirect: Redirige le trafic HTTP vers des sites Web contrôlés par des attaquants en modifiant divers modules Apache et nginx pour rediriger un petit pourcentage du trafic Web vers des sites malveillants.
  • Heli mod Steal: Exfiltrez les informations sensibles des requêtes HTTP POST en ajoutant un filtre d’entrée qui intercepte et vole les données soumises via des formulaires Web, telles que les informations de connexion et les détails de paiement.
  • KernelRedirect: Modifie le trafic HTTP au niveau du noyau pour rediriger les visiteurs à l’aide d’un module du noyau Linux qui se connecte à Netfilter, en modifiant l’en-tête Location dans les réponses HTTP pour rediriger les utilisateurs vers des URL malveillantes.
  • FrizzySteal: Intercepte et exfiltreles requêtes HTTP en se connectant à libcurl, ce qui lui permet de capturer et de voler des données à partir des requêtes HTTP effectuées par le serveur compromis.
Modules de logiciels malveillants d’Ebury

La dernière enquête d’ESET a été menée en collaboration avec la Dutch National High Tech Crime Unit (NHTCU), qui a récemment saisi un serveur de sauvegarde utilisé par les cybercriminels.

Les autorités néerlandaises affirment que les acteurs d’Ebury utilisent des identités fausses ou volées (via le voleur Vidar), assumant même parfois les surnoms d’autres cybercriminels pour induire en erreur les forces de l’ordre.

La NHTCU étudie les preuves trouvées sur ce serveur, y compris les machines virtuelles contenant des artefacts de navigation sur le Web tels que l’historique et les connexions enregistrées, mais aucune attribution concrète n’a encore été faite.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *