Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Botnetze SSHStalker-Botnetz

SSHStalker-Botnetz

Von Mezo in Botnetze, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Cybersicherheitsexperten haben ein Botnetz namens SSHStalker aufgedeckt, das das Internet Relay Chat (IRC)-Protokoll für die Kommando- und Kontrollkommunikation (C2) nutzt. Durch die Kombination traditioneller IRC-Botnetzmechanismen mit automatisierten Massenangriffstechniken zeugt diese Kampagne von einem kalkulierten und methodischen Vorgehen zur Infiltration von Infrastrukturen.

Im Gegensatz zu modernen Botnetzen, die auf schnelle Monetarisierung abzielen, setzt SSHStalker auf Beharrlichkeit und kontrollierte Expansion, was eher auf ein strategisches Ziel als auf unmittelbaren finanziellen Gewinn hindeutet.

Ausnutzungsstrategie: Die Vergessenen und Ungepatchten ins Visier nehmen

SSHStalker konzentriert sich gezielt auf ältere Linux-Systeme. Das Toolkit enthält 16 Linux-Kernel-Schwachstellen, viele davon aus den Jahren 2009 und 2010. Obwohl sie gegen aktuelle, vollständig gepatchte Systeme weitgehend wirkungslos sind, können diese Exploits gegen veraltete oder vernachlässigte Infrastrukturen weiterhin eingesetzt werden.

Zu den im Rahmen der Kampagne ausgenutzten Schwachstellen zählen CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 und CVE-2010-3437. Diese Nutzung älterer Schwachstellen verdeutlicht eine pragmatische Strategie: die Ausnutzung veralteter, oft unbeachteter Systeme, die modernen Sicherheitsvorkehrungen häufig entgehen.

Wurmartige Ausbreitung durch SSH-Automatisierung

SSHStalker nutzt automatisierte Scanfunktionen, um seine Reichweite zu vergrößern. Ein in Go geschriebener Scanner durchsucht aktiv Port 22, um Systeme zu identifizieren, die SSH-Dienste anbieten. Sobald ein solches System gefunden wurde, werden anfällige Hosts kompromittiert und in IRC-Kanäle eingebunden, wodurch sich das Botnetz wurmartig ausbreitet.

Während der Infektion werden verschiedene Schadprogramme eingesetzt, darunter Varianten eines IRC-gesteuerten Bots und eines Perl-basierten Dateibots. Diese Komponenten verbinden sich mit einem UnrealIRCd-Server, treten festgelegten Kontrollkanälen bei und warten auf Anweisungen. Die Infrastruktur unterstützt koordinierte Flood-Angriffe und die zentrale Bot-Verwaltung.

Trotz dieser Fähigkeiten verzichtet die Kampagne bemerkenswerterweise auf gängige Monetarisierungsmethoden nach der Kompromittierung, wie beispielsweise DDoS-Angriffe, Proxyjacking oder Kryptowährungs-Mining. Stattdessen bleiben die kompromittierten Systeme weitgehend inaktiv und behalten den dauerhaften Zugriff. Diese zurückhaltende Vorgehensweise deutet auf mögliche Anwendungsfälle wie Staging, Zugriffssicherung oder zukünftige koordinierte Operationen hin.

Tarnung, Beharrlichkeit und Anti-Forensik

Operative Tarnung ist ein charakteristisches Merkmal von SSHStalker. Die Malware setzt Protokollbereinigungsprogramme ein, die utmp-, wtmp- und lastlog-Einträge manipulieren, um unautorisierte SSH-Zugriffe zu verschleiern. Spezielle C-Programme werden ausgeführt, um Spuren schädlicher Aktivitäten aus den Systemprotokollen zu entfernen und so die forensische Auswertung zu erschweren.

Um die Ausfallsicherheit zu gewährleisten, enthält das Toolkit einen Mechanismus zur Aufrechterhaltung des Betriebs, der den primären Malware-Prozess innerhalb von 60 Sekunden neu startet, falls er beendet wird. Diese Strategie der Persistenz stärkt die Beständigkeit des Systems in kompromittierten Umgebungen.

Bereitstellungsinfrastruktur und offensives Werkzeugarsenal

Die Analyse der zugehörigen Testumgebung hat ein umfangreiches Repertoire an Angriffswerkzeugen und bereits bekannter Malware aufgedeckt. Das Toolkit umfasst:

  • Rootkits, die entwickelt wurden, um die Tarnung zu verbessern und die Persistenz aufrechtzuerhalten
  • Kryptowährungs-Miner
  • Ein Python-Skript, das eine Binärdatei namens „Website Grabber“ ausführt, um offengelegte Amazon Web Services (AWS)-Zugangsdaten von anfälligen Websites zu sammeln.
  • EnergyMech, ein IRC-Bot, der die Befehls- und Kontrollverwaltung sowie die Ausführung von Fernbefehlen ermöglicht.

Diese Sammlung verdeutlicht einen flexiblen operativen Rahmen, der sich an verschiedene Angriffsziele anpassen kann.

Hinweise auf die Zuordnung und operative Überschneidung

Hinweise in IRC-Kanälen und Konfigurationswortlisten deuten auf einen möglichen rumänischen Ursprung hin, darunter die Verwendung rumänischer Spitznamen und Slangausdrücke. Darüber hinaus weisen die Vorgehensweisen deutliche Überschneidungen mit denen der Hackergruppe Outlaw (auch bekannt als Dota) auf, was auf eine mögliche Zugehörigkeit oder ähnliche Vorgehensweisen schließen lässt.

Reife Orchestrierung statt neuartiger Ausbeutung

SSHStalker nutzt weder Zero-Day-Schwachstellen noch bahnbrechende Rootkit-Entwicklung. Stattdessen demonstriert die Kampagne disziplinierte operative Kontrolle und effektive Orchestrierung. Der Kernbot und die Low-Level-Komponenten sind primär in C geschrieben, während Shell-Skripte für Persistenz und Automatisierung sorgen. Python und Perl werden gezielt für Hilfsfunktionen und unterstützende Aufgaben innerhalb der Infektionskette eingesetzt.

Diese Kampagne veranschaulicht einen strukturierten, skalierbaren Workflow für Massenkompromisse, der auf Infrastruktur-Recycling, Automatisierung und langfristige Persistenz in verschiedenen Linux-Umgebungen setzt. Ihre Stärke liegt weniger in der Innovation als vielmehr in der Ausführung, Koordination und der strategischen Nutzung vernachlässigter Systeme.

Im Trend

Am häufigsten gesehen

Wird geladen...