Gli cyberattaccanti stanno prendendo di mira i server Linux SSH con il malware ShellBot e hanno un nuovo metodo per nascondere la loro attività: utilizzano indirizzi IP esadecimali (Hex IP) per eludere il rilevamento basato sul comportamento.
Secondo i ricercatori dell’AhnLab Security Emergency Response Center (ASEC), gli attori minacciosi stanno traducendo la familiare formazione URL di comando e controllo “dot-decimal” in un formato di indirizzo IP esadecimale, che la maggior parte delle firme di rilevamento basate su URL non analizzerà o segnalerà.
ShellBot, noto anche come PerlBot, è un botnet noto che utilizza attacchi dizionario per compromettere i server con credenziali SSH deboli. Da lì, il punto finale del server viene messo in azione per consegnare attacchi distribuiti di negazione del servizio (DDoS) o rilasciare payload come cryptominers su macchine infettate.
Per proteggere le loro organizzazioni dagli attacchi ShellBot, gli amministratori dovrebbero semplicemente migliorare la loro igiene delle password, utilizzando password forti e assicurandosi di ruotare le loro credenziali rinforzate regolarmente.