Ebury ボットネットが 15 年間で約 400,000 台の Linux サーバーを侵害し、暗号通貨を盗む

マドリード、5月17日。 (ポータル/EP) –

ESETの研究者は、「」に関する進捗状況を共有しました。ボットネット「エベリー」「マルウェア」は、その実行中に、 活動歴15年はぁ 周りにコミットした の 400,000 台の Linux サーバー、2023 年末時点でもそのうち 100,000 台が侵害されている彼のために 暗号通貨の盗難 そして銀行カード。

として知られています。ボットネット」をコンピューティング デバイスの一連のネットワークに接続する「ボット」と呼ばれる注文者として、 「マルウェア」に感染した これらは悪意のある攻撃者によってリモートで制御されており、悪意のある活動を実行するために一緒に使用される可能性があります。

Ebury ボットネットは 2009 年から活動しており、過去 15 年間、セキュリティ侵害のためのバックドアとして使用されてきました。 約400,000のサーバー Linux、reeBSD、OpenBSD、 そのうち 100,000 件は、2023 年の昨年末時点でも依然として違反されている。

サイバーセキュリティの専門家は、「これらのケースの多くで」、Ebury の背後にある悪意のある攻撃者が次のような行為を行っていると警告しています。 「有名な ISP やホスティングプロバイダーの大規模サーバー」へのフルアクセスを取得します。 その結果、達成されました 強盗 クレジットカードや暗号通貨さえも。

これについては、ESET の研究者によって詳しく説明されています。 徹底的な研究 Ebury ボットネット。そこでは次のように定義されています。 「最も先進的なサーバーサイドの『マルウェア』キャンペーンの 1 つ。」

ESET Ebury については 2014 年に初めて報告されましたに関する技術文書の発行により、 ウィンディゴ作戦このキャンペーンでは、サイバー犯罪者が「Ebury マルウェア ファミリを中心に」複数のマルウェア ファミリを連携させて利用しました。

その結果、同社は次のように回想した。 ウェブサイトでの声明オランダ国家ハイテク犯罪対策局 (NHTCU) が介入し、最終的にこのキャンペーンの背後にいる悪意のある人物の 1 人を逮捕しました。

現在、ESET はプロキシ トラフィックを送信するために Ebury が使用されていることを確認しています。 「スパム」を実行し、200 を超えるターゲットに対して Adversary-in-the-Medium (AitM) 攻撃を実行するとして ビットコインとイーサリアム暗号通貨のノード75 のネットワークと 34 か国にまたがる 2022年2月と2023年3月。 これを利用して、サイバー犯罪者は暗号通貨、認証情報、ユーザーのクレジット カード データを盗むことに成功しました。

さらに、研究者らはサイバー犯罪者の手口を発見しました。 新しい「マルウェア」ファミリーを作成および実装しました 「ボットネット」から利益を上げること。 カーネルモジュール -オペレーティング システム カーネルに拡張できるコードを含むファイル- Web トラフィックをリダイレクトします。

同様に、Ebury サイバー犯罪者も 管理者の「ソフトウェア」にゼロデイ脆弱性が存在し、より多くのサーバーが大規模に侵害される可能性があります。

Linux コミュニティへの脅威

ESETの調査によると、Eburyの最終的な被害者には両方が含まれます。 大学、 として 中小企業も大企業もインターネットサービスプロバイダーと 暗号通貨トレーダー。 が指摘したように、 ESET調査員のMarc-Etienne M. Léveillé氏、 「エベリーに地理的な制限はない」現在、世界中のほぼすべての国でサーバーが侵害されているためです。

これに関連して、レヴェイユ氏はエベリー氏が次のように強調した。 「Linux セキュリティ コミュニティに深刻な脅威と課題をもたらします。」 それ以来、現在 「単純な解決策はない それはエベリーを無力にする。」

同氏はまた、Eburyの「マルウェア」は「セキュリティをあまり気にしない」人々に影響を与えるだけでなく、「被害者のリストにはテクノロジーに精通した多くの人々や大規模な組織が含まれている」とも警告した。