Juniper Threat Labs ha osservato un attacco in cui gli attori hanno tentato di iniettare codice dannoso nella Secure Shell (SSH) per hackerare i server Linux.
L’attacco inizia con un exploit contro l’applicazione web di amministrazione del server Control Web Panel (CWP), che inietta codice tramite LD_PRELOAD e utilizza un protocollo binario di comando e controllo personalizzato e crittografato per esfiltrare credenziali e capacità della macchina.
Al momento della stesura documento, il server di comando e controllo del malware è ancora attivo.
CWP è stata afflitta da problemi di sicurezza, comprese 37 vulnerabilità 0-day rivelate dalla Zero Day Initiative nel 2020. Nello stesso anno, oltre 215.000 installazioni CWP erano accessibili da Internet aperto, quindi il numero di computer compromessi in questa campagna potrebbe essere notevole.
Dopo aver sfruttato con successo il pannello web, vengono eseguiti una serie di comandi che portano all’installazione del malware.
Gli autori del malware incorporano alcuni trucchi aggiuntivi per ostacolare l’analisi e la decrittografia.
Il malware cataloga informazioni di sistema e credenziali dettagliate ma non inizia immediatamente a estrarre criptovaluta o ad amplificare l’attacco tentando di diffondersi ulteriormente. Il sospetto, secondo gli esperti di Juniper Threat Labs, è che l’accesso alle macchine compromesse verrà venduto o affittato come parte di una botnet.
https://blogs.juniper.net/en-us/threat-research/linux-servers-hijacked-to-implant-ssh-backdoor