Ebury-Botnetz
Ein Malware-Botnetz namens Ebury hat seit 2009 rund 400.000 Linux-Server infiltriert, wobei bis Ende 2023 noch über 100.000 Server kompromittiert waren. Dieses Botnetz wird von Cybersicherheitsexperten als eine der ausgefeiltesten serverseitigen Malware-Kampagnen angesehen, die auf finanziellen Gewinn abzielen.
Die Akteure hinter Ebury haben sich an verschiedenen Monetarisierungsaktivitäten beteiligt, beispielsweise an der Verbreitung von Spam, der Umleitung von Webdatenverkehr und dem Diebstahl von Anmeldeinformationen. Darüber hinaus sind sie am Diebstahl von Kryptowährungen durch Man-in-the-Middle-Angriffe (MitM) und am Diebstahl von Kreditkartendaten durch das Abfangen von Netzwerkdatenverkehr beteiligt, eine Technik, die allgemein als serverseitiges Web-Skimming bezeichnet wird.
Inhaltsverzeichnis
Cyberkriminelle beim Betrieb des Ebury-Botnetzes erwischt
Ebury tauchte vor über zehn Jahren im Rahmen der Operation Windigo auf, einer Kampagne, die darauf abzielte, Linux-Server zu kompromittieren. Bei dieser Operation wurde Ebury zusammen mit anderen Tools wie Cdorked und Calfbot eingesetzt, um den Webverkehr umzuleiten und Spam zu versenden. Im August 2017 wurde der russische Staatsbürger Maxim Senakh wegen seiner Beteiligung an der Entwicklung und Wartung des Ebury-Botnetzes zu fast vier Jahren Gefängnis in den USA verurteilt.
Senakh und seine Komplizen nutzten das Ebury-Botnetz, um den Internetverkehr für verschiedene Klickbetrugs- und Spammail-Programme zu manipulieren, so das US-Justizministerium. Dies führte zu betrügerischen Einnahmen in Millionenhöhe. Im Rahmen seines Geständnisses gestand Senakh, das kriminelle Unternehmen unterstützt zu haben, indem er Konten bei Domain-Registraren einrichtete, um die Infrastruktur des Ebury-Botnetzes zu erweitern, und persönlich vom dadurch generierten Datenverkehr profitierte.
Das Ebury-Botnetz infizierte Geräte über zahlreiche verschiedene Vektoren
Eine Untersuchung hat ergeben, dass Angreifer mehrere Taktiken einsetzen, um Ebury zu verbreiten. Dazu gehören der Diebstahl von SSH-Anmeldeinformationen, Credential Stuffing, das Infiltrieren der Infrastruktur von Hosting-Anbietern, das Ausnutzen von Schwachstellen wie dem Control Web Panel-Fehler CVE-2021-45467 und die Durchführung von SSH-Man-in-the-Middle-Angriffen (MitM).
Darüber hinaus wurden Bedrohungsakteure dabei beobachtet, wie sie falsche oder gestohlene Identitäten verwendeten, um ihre Aktivitäten zu verbergen. Sie haben die Infrastruktur anderer böswilliger Akteure kompromittiert und die Ebury-Malware eingesetzt, um ihre Ziele zu erreichen und die Bemühungen, sie aufzuspüren, zu vereiteln.
So haben Angreifer beispielsweise Server manipuliert, die für das Sammeln von Daten von Vidar Stealer zuständig waren. Sie nutzten gestohlene Identitäten, die sie über Vidar Stealer erhalten hatten, um Serverinfrastruktur zu mieten und Aktivitäten durchzuführen, die die Strafverfolgungsbehörden absichtlich in die Irre führten. In einem anderen Fall wurde Ebury verwendet, um in das System eines der Autoren des Mirai- Botnetzes einzudringen und den Code vor seiner Veröffentlichung zu erhalten.
Angreifer nutzten Ebury, um weitere bedrohliche Payloads zu übermitteln
Die Malware fungiert als Hintertür und SSH-Anmeldedatendiebstahl und ermöglicht es Angreifern, zusätzliche Payloads wie HelimodSteal, HelimodProxy und HelimodRedirect einzuführen und so ihre Reichweite in kompromittierten Netzwerken zu erweitern. Die aktuellste identifizierte Version von Ebury ist 1.8.2.
Diese Tools zielen darauf ab, die kompromittierten Server auf verschiedene Weise zu monetarisieren. Zu den Monetarisierungsstrategien gehören der Diebstahl von Kreditkarteninformationen, der Diebstahl von Kryptowährungen, die Umleitung des Datenverkehrs, die Verbreitung von Spam und der Diebstahl von Anmeldeinformationen.
HelimodSteal, HelimodRedirect und HelimodProxy fungieren als HTTP-Servermodule, um HTTP-POST-Anfragen abzufangen, HTTP-Verkehr auf Werbung umzuleiten und Verkehr für die Verbreitung von Spam zu Proxy-Servern zu leiten. Die Gruppe verwendet außerdem ein Kernelmodul namens KernelRedirect, das einen Netfilter-Hook verwendet, um den HTTP-Verkehr zu ändern und die Umleitung zu aktivieren. HelimodSteal ist speziell darauf ausgelegt, Kreditkartendaten abzufangen, die an Online-Shops übermittelt werden, und fungiert als serverseitiger Web-Skimmer, um diese vertraulichen Informationen von infizierten Servern zu extrahieren.
Die Angreifer nutzen außerdem Software, um bösartigen Datenverkehr durch Firewalls zu verbergen und zuzulassen, sowie Perl-Skripte für groß angelegte Man-in-the-Middle-Angriffe in den Rechenzentren der Hosting-Anbieter. Sie zielen auf wertvolle Vermögenswerte ab, um Kryptowährung aus Wallets zu stehlen.
