New ShellBot DDoS Malware Variants Targeting Poorly Managed Linux Servers
เซิร์ฟเวอร์ Linux ที่มีการจัดการที่ไม่ดีกำลังตกเป็นเป้าหมายของแคมเปญใหม่ของมัลแวร์ ShellBot ShellBot หรือ PerlBot เป็นมัลแวร์ DDoS Bot ที่พัฒนาขึ้นจากภาษา Perl และใช้โปรโตคอล IRC เพื่อสื่อสารกับเซิร์ฟเวอร์ C&C
เมื่อ ShellBot ได้รับการติดตั้งบนเซิร์ฟเวอร์ที่มีข้อมูลประจำตัวที่อ่อนแอ แต่หลังจากที่ผู้คุกคามใช้มัลแวร์สแกนเนอร์เพื่อหาระบบที่เปิดพอร์ต 22 หลังจากนั้นจะเริ่มต้นการโจมตีแบบ dictionary attack ซึ่งเป็นการสุ่ม password เพื่อเจาะเซิร์ฟเวอร์และปรับใช้เพย์โหลด หลังจากนั้นจะใช้โปรโตคอล Internet Relay Chat (IRC) เพื่อสื่อสารกับเซิร์ฟเวอร์ระยะไกล ซึ่งรวมถึงความสามารถในการรับคำสั่งที่ช่วยให้ ShellBot ทำการโจมตี DDoS และกรองข้อมูลที่ขโมยมาได้
นักวิจัยด้านความปลอดภัยจาก AhnLab Security Emergency response Center (ASEC) กล่าวว่ายังมี ShellBot ถึง 3 เวอร์ชันที่แตกต่างกัน ได้แก่ Modded perlbot v2 ของ LiGhT, DDoS PBot v2.0 และ PowerBots (C) GohacK โดยสองเวอร์ชันแรกได้ใช้การโจมตี DDoS ที่หลากหลายโดยใช้โปรโตคอล HTTP, TCP และ UDP ในทางกลับกัน PowerBots ก็มาพร้อมกับความสามารถที่คล้ายกับ backdoor มากขึ้นในการให้สิทธิ์การเข้าถึงแบบ reverse shell และอัปโหลดไฟล์เพื่อ compromise โฮสต์ที่ถูกบุกรุก การค้นพบนี้เกิดขึ้นเกือบสามเดือนหลังจากที่ ShellBot ถูกว่าใช้ในการโจมตีที่มุ่งเป้าไปที่เซิร์ฟเวอร์ Linux ซึ่งใช้แพร่กระจายตัวขุด cryptocurrency ผ่านทาง shell script compiler
https://thehackernews.com/2023/03/new-shellbot-ddos-malware-targeting.html