Investigadores de ciberseguridad han revelado detalles de una nueva operación de botnet llamada SSHStalker, que utiliza el protocolo de comunicación IRC para fines de comando y control (C2).
"El conjunto de herramientas combina ayudantes sigilosos con exploits de Linux de la era legacy: junto con limpiadores de registros (manipulación de utmp/wtmp/lastlog) y artefactos de rootkits, el actor mantiene un gran catálogo de exploits de la era Linux 2.6.x (CVEs de 2009-2010)", dijo la empresa de ciberseguridad Flare. "Estos tienen poco valor contra stacks modernos, pero siguen siendo efectivos contra infraestructura 'olvidada' y entornos legacy de larga cola".
SSHStalker combina mecánicas de botnet IRC con una operación automatizada de compromiso masivo que utiliza un escáner SSH y otros escáneres fácilmente disponibles para cooptar sistemas susceptibles en una red e inscribirlos en canales IRC.
Sin embargo, a diferencia de otras campañas que suelen aprovechar dichas botnets para esfuerzos oportunistas como ataques de denegación de servicio distribuido (DDoS), proxyjacking o minería de criptomonedas, se ha descubierto que SSHStalker mantiene acceso persistente sin ningún comportamiento de post-explotación adicional.
Este comportamiento latente lo distingue, lo que plantea la posibilidad de que la infraestructura comprometida se esté utilizando para preparación, pruebas o retención estratégica de acceso para uso futuro.
Un componente central de SSHStalker es un escáner en Golang que escanea el puerto 22 en busca de servidores con SSH abierto para extender su alcance de forma similar a un gusano. También se eliminan varias cargas útiles, incluidas variantes de un bot controlado por IRC y un bot de archivo Perl que se conecta a un servidor IRC UnrealIRCd, se une a un canal de control y espera comandos que le permiten realizar ataques de tráfico de tipo inundación y apoderarse de los bots.
Los ataques también se caracterizan por la ejecución de archivos de programa C para limpiar registros de conexión SSH y borrar rastros de actividad maliciosa de los registros para reducir la visibilidad forense. Además, el kit de herramientas de malware contiene un componente "keep-alive" que garantiza que el proceso principal de malware se reinicie en un plazo de 60 segundos en caso de que sea terminado por una herramienta de seguridad.
SSHStalker es notable por combinar la automatización de compromiso masivo con un catálogo de 16 vulnerabilidades distintas que afectan al kernel de Linux, algunas que se remontan a 2009. Algunas de las fallas utilizadas en el módulo de exploit son CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 y CVE-2010-3437.
La investigación de Flare sobre la infraestructura de preparación asociada con el actor de amenazas ha descubierto un extenso repositorio de herramientas ofensivas de código abierto y muestras de malware publicadas anteriormente. Estos incluyen:
- - Rootkits para facilitar el sigilo y la persistencia
- - Mineros de criptomonedas
- - Un script de Python que ejecuta un binario llamado "website grabber" para robar secretos expuestos de AWS de sitios web objetivo
- - EnergyMech, un bot de IRC que proporciona capacidades de C2 y ejecución remota de comandos
Se sospecha que el actor de amenazas detrás de la actividad podría ser de origen rumano, dada la presencia de "apodos de estilo rumano, patrones de jerga y convenciones de nomenclatura dentro de los canales IRC y listas de palabras de configuración". Además, la huella operativa muestra fuertes superposiciones con la de un grupo de hackers conocido como Outlaw (también conocido como Dota).
"SSHStalker no parece centrarse en el desarrollo de exploits novedosos, sino que demuestra control operativo a través de la implementación y orquestación maduras, utilizando principalmente C para el bot central y componentes de bajo nivel, shell para orquestación y persistencia, y uso limitado de Python y Perl principalmente para tareas de utilidad o automatización de apoyo dentro de la cadena de ataque y ejecución del bot IRC", dijo Flare.
"El actor de amenazas no está desarrollando zero-days ni rootkits novedosos, sino que demuestra una sólida disciplina operativa en flujos de trabajo de compromiso masivo, reciclaje de infraestructura y persistencia de larga cola en entornos Linux heterogéneos".
