ShellBot: Utilizzo di Indirizzi IP in Notazione Esadecimale per Attacchi sui Server SSH Linux

_9b83358b-4af6-4bff-8855-d19e6009e835ShellBot: Utilizzo di Indirizzi IP in Notazione Esadecimale per Attacchi sui Server SSH Linux

Nel mondo della sicurezza informatica, la minaccia conosciuta come ShellBot sta adottando nuove tattiche per infiltrarsi nei server SSH Linux scarsamente protetti. Gli attori delle minacce responsabili di ShellBot stanno sfruttando indirizzi IP espressi in notazione esadecimale per evitare la rilevazione e distribuire il malware DDoS.

In un rapporto recente pubblicato dal Centro di Risposta di Sicurezza di AhnLab, noto come ASEC, emerge che la notevole evoluzione di ShellBot sta avvenendo attraverso l’utilizzo di indirizzi IP in notazione esadecimale come parte dell’URL di download. Questo nuovo approccio mira a eludere le firme di rilevamento basate sugli URL.

ShellBot, noto anche come PerlBot, è un malware noto per compromettere i server Linux con credenziali SSH deboli, utilizzando attacchi a dizionario. Una volta insediato, il malware funge da tramite per eseguire attacchi DDoS e per distribuire miner di criptovaluta.

Il malware ShellBot è stato sviluppato in Perl ed utilizza il protocollo IRC per comunicare con un server di comando e controllo (C2). La sua capacità di comunicazione tramite IRC consente agli attori delle minacce di coordinare e controllare le attività dannose in modo più efficace.

L’aspetto più recente delle attività di ShellBot coinvolge l’utilizzo di indirizzi IP esadecimali, come ad esempio “hxxp://0x2763da4e/”, che corrispondono a indirizzi IP regolari. Questo approccio è stato adottato per sfuggire alla rilevazione basata sugli URL. La scelta di utilizzare “curl” per il download consente al malware di essere scaricato con successo su sistemi Linux e di essere eseguito attraverso Perl.

Questo sviluppo indica che ShellBot continua a essere uno strumento attivo nelle attività degli attaccanti contro i sistemi Linux. Con la capacità di ShellBot di installare ulteriori malware e di lanciare vari tipi di attacchi da server compromessi, gli utenti devono adottare misure di sicurezza come l’uso di password robuste e la loro periodica modifica per resistere agli attacchi di forza bruta e a quelli basati su dizionario.

Inoltre, il rapporto ASEC ha rivelato che gli aggressori stanno sfruttando certificati anomali con stringhe eccezionalmente lunghe nei campi “Nome del soggetto” e “Nome dell’emittente” per distribuire malware raccogli-informazioni, come Lumma Stealer e una variante di RedLine Stealer nota come RecordBreaker.

Questa nuova ondata di minacce rappresenta una sfida per la sicurezza informatica e sottolinea l’importanza di mantenere i sistemi e le applicazioni sempre aggiornati e protetti contro attività dannose.

Fonte della notizia

ShellBot: Utilizzo di Indirizzi IP in Notazione Esadecimale per Attacchi sui Server SSH Linuxultima modifica: 2023-10-16T12:20:24+02:00da puma1973a
Reposta per primo quest’articolo