Ebury:持续扩张的恶意软体僵尸网络
关键要点
Ebury 恶意软件在过去十年间稳步增长,自 2009 年以来,已感染超过 400000 个主机。截至 2023 年底,仍有约 100000 个受感染系统。Ebury 主要针对服务器,尤其是托管提供商的服务器,以窃取 SSH 登录凭据。其运作手法包括利用零日漏洞和中间人攻击等。根据 SecurityWeek,Ebury 恶意软件在过去十年内不断扩展,自 2009 年起已感染超过 400000 台主机,至 2023 年底仍发现约 100000 台受感染的系统。
最初在2014年被发现时,Ebury 已感染 25000 台系统,尽管开发者面临法律制裁,但该恶意软件依然顽强存活。ESET 的报告指出,Ebury 通过各类手段抵御了多次封杀尝试。
下载旋风加速器Ebury 主要攻击服务器,包括托管服务提供商的服务器,攻击者借此可拦截和重定向 SSH 流量,从而获取登录凭据。此外,Ebury 的操作者还针对 Tor 退出节点、比特币和以太坊节点,以及网络流量,窃取加密货币钱包和信用卡数据。近期,该恶意软件的活动包括利用管理员软件的零日漏洞,并入侵其他威胁行为者的基础设施以盗取被窃取的数据。
Ebury 被观察到采用多种手段,包括凭据填充、利用 CVE202145467 和 Dirty COW 等漏洞,以及实施对手中间人攻击。在创收方面,Ebury 的操作者采用多种技术,包括部署像 HelimodSteal 和 HelimodRedirect 的恶意软件,但近年来已转向加密货币和信用卡数据盗窃等策略。
攻击手法描述凭据填充大量尝试使用泄露的凭据登录系统利用漏洞如 CVE202145467 和 Dirty COW中间人攻击截取和篡改网络通信以获取信息恶意软件部署使用 HelimodSteal 和 HelimodRedirectEbury 的不断演变显示了恶意软件在现代网络环境中的潜在威胁,提醒组织加强安全防护,以抵御此类攻击。
