Multi-License Discount Quote
脅威データベース Botnets Ebury ボットネット

Ebury ボットネット

Botnets, MalwareMezoまで
翻訳内容:
日本語

Ebury というマルウェア ボットネットは、2009 年以降、約 40 万台の Linux サーバーに侵入しており、2023 年末時点で 10 万台以上のサーバーが侵害されたままになっています。このボットネットは、サイバーセキュリティの専門家によって、金銭的利益を狙った最も洗練されたサーバー側マルウェア キャンペーンの 1 つとして認識されています。

Ebury の背後にいる攻撃者は、スパムの配布、Web トラフィックのリダイレクト、認証情報の盗難など、さまざまな収益化活動に従事しています。さらに、中間者 (MitM) 攻撃による暗号通貨の盗難や、ネットワーク トラフィックの傍受 (一般にサーバー側 Web スキミングと呼ばれる手法) によるクレジットカードの盗難にも関与しています。

サイバー犯罪者がEburyボットネットを運営していたことが判明

Ebury は、Linux サーバーを侵害することを目的としたキャンペーンである Operation Windigo で 10 年以上前に登場しました。このキャンペーンでは、Ebury を Cdorked や Calfbot などの他のツールとともに展開し、Web トラフィックをリダイレクトしてスパムを送信しました。2017 年 8 月、ロシア国籍の Maxim Senakh は、Ebury ボットネットの開発と保守に関与したとして、米国で約 4 年の懲役刑を宣告されました。

米国司法省によると、セナクとその仲間は、Ebury ボットネットを利用してインターネット トラフィックを操作し、さまざまなクリック詐欺やスパム メールの計画を実行した。その結果、詐欺による収益は数百万ドルに上った。罪状認否の一環として、セナクは、Ebury ボットネット インフラストラクチャを拡大するためにドメイン レジストラにアカウントを設定することで犯罪組織を支援し、そこから発生するトラフィックから個人的に利益を得たことを告白した。

Eburyボットネットはさまざまな経路でデバイスを感染させた

調査により、攻撃者が Ebury を配布するために、SSH 認証情報の盗難、認証情報の詰め込み、ホスティング プロバイダーのインフラストラクチャへの侵入、コントロール Web パネルの欠陥 CVE-2021-45467 などの脆弱性の悪用、SSH 中間者 (MitM) 攻撃の実行など、複数の戦術を使用していることが明らかになりました。

さらに、脅威アクターが偽の身元や盗まれた身元を使用して活動を隠蔽していることも確認されています。彼らは他の悪意のあるアクターが使用するインフラストラクチャを侵害し、Ebury マルウェアを展開して目的を達成し、追跡を混乱させています。

たとえば、攻撃者は Vidar Stealer からデータを収集するサーバーを侵害しました。攻撃者はVidar Stealerを通じて盗んだ ID を使用してサーバー インフラストラクチャをレンタルし、意図的に法執行機関を欺く活動を実行しました。別のケースでは、Ebury を使用してMiraiボットネット作成者の 1 人のシステムに侵入し、公開される前にコードを入手しました。

攻撃者はEburyを利用してさらなる脅威となるペイロードを配信した

このマルウェアはバックドアおよび SSH 認証情報の窃盗として動作し、攻撃者が HelimodSteal、HelimodProxy、HelimodRedirect などの追加のペイロードを導入して、侵害されたネットワーク内で攻撃範囲を拡大できるようにします。特定された Ebury の最新バージョンは 1.8.2 です。

これらのツールは、さまざまな手段を通じて侵害されたサーバーから収益を得ることを目的としています。収益化戦略には、クレジットカード情報の盗難、暗号通貨の窃盗、トラフィックのリダイレクト、スパムの拡散、資格情報の盗難などがあります。

HelimodSteal、HelimodRedirect、および HelimodProxy は、HTTP POST リクエストを傍受し、HTTP トラフィックを広告にリダイレクトし、トラフィックをプロキシしてスパムを配布する HTTP サーバー モジュールとして機能します。このグループはまた、KernelRedirect というカーネル モジュールも使用し、Netfilter フックを使用して HTTP トラフィックを変更し、リダイレクトを有効にします。HelimodSteal は、オンライン ストアに送信されたクレジットカード データをキャプチャするように特別に設計されており、感染したサーバーからこの機密情報を抽出するためのサーバー側の Web スキマーとして機能します。

攻撃者はまた、悪意のあるトラフィックをファイアウォール経由で隠蔽および許可するソフトウェアや Perl スクリプトを活用し、ホスティング プロバイダーのデータ センター内で大規模な中間者攻撃を実行します。攻撃者は貴重な資産をターゲットにして、ウォレットから暗号通貨を盗みます。

トレンド

X-finder.pro

Browser Hijackers, 望ましくない可能性のあるプログラム
ここ数か月、サイバーセキュリティの分野で懸念される傾向が浮上しています。X-Finder. Search と呼ばれる新しいブラウザ ハイジャッカーです。X-Finder. Search は CrackedCantil ドロッパー マルウェアによって配布され、システムに侵入してインターネット ブラウザの設定を操作し、関連する偽の検索エンジン X-Finder.pro の使用を促進します。この欺...

Onlinenothome.com

Rogue Websites, Browser Hijackers
Onlinenothome.comページに遭遇したユーザーは注意が必要です。結局のところ、このサイトは、人気のあるブラウザベースの戦術を広め、不要なリダイレクトを引き起こすために作成されました。インターネットには、Onlinenothome.comと実質的に同一のWebサイトがたくさんあることに注意してください。それらは、表示された「許可」ボタンを押すようにユーザーを説得するように設計された...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
82,693
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
65,499
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
60,503
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...