Исследователи из компании ASEC выявили новые атаки, нацеленные на слабо защищённые SSH-серверы Linux. В них хакеры использовали вредоносное ПО Supershell, написанное на языке ” data-html=”true” data-original-title=”Go” >Go. Это бэкдор предоставляет злоумышленникам удалённый контроль над скомпрометированными системами.
После первичного заражения хакеры запускают сканеры для поиска других уязвимых целей. Предполагается, что эти атаки проводятся с использованием словарей паролей, полученных с уже заражённых серверов.
Злоумышленники используют команды wget, curl, tftp и ftpget для загрузки и выполнения вредоносных скриптов. Эти скрипты позволяют получить полный доступ к системе и установить дополнительное вредоносное ПО, а затем скрыть следы атаки, удалив загруженные файлы.
В результате установки бэкдора хакеры могут настроить на заражённых хостах скрытые майнеры криптовалюты, такие как XMRig, что является типичной схемой атак на уязвимые серверы Linux. В рассмотренной кампании хакеры также применяли Cobalt Strike для настройки удалённого доступа и ElfMiner для установки криптомайнеров.
Специалисты рекомендуют администраторам усилить защиту своих систем, регулярно обновлять ПО, использовать сложные пароли и включать брандмауэры для минимизации риска заражения.