Server SSH Linux mal gestiti sono stati presi di mira da una nuova campagna che utilizza diverse varianti di un malware chiamato ShellBot. Secondo un rapporto del centro di risposta alle emergenze di sicurezza AhnLab (ASEC), ShellBot, noto anche come PerlBot, è un malware DDoS Bot sviluppato in Perl che utilizza il protocollo IRC per comunicare con il server C&C.
ShellBot viene installato su server con credenziali deboli dopo che gli attori della minaccia utilizzano malware scanner per identificare sistemi con la porta SSH 22 aperta. Viene poi condotto un attacco dizionario utilizzando una lista di credenziali SSH note per violare il server e distribuire il payload. Successivamente, il malware sfrutta il protocollo IRC per comunicare con un server remoto.
Le capacità di ShellBot includono la ricezione di comandi per condurre attacchi DDoS ed esfiltrare informazioni raccolte. ASEC ha identificato tre diverse versioni di ShellBot, ognuna con diverse funzionalità relative agli attacchi DDoS e alle potenzialità di backdoor.
La scoperta di queste nuove varianti di ShellBot giunge circa tre mesi dopo che il malware è stato utilizzato in attacchi contro server Linux per distribuire anche miner di criptovalute tramite un compilatore di script di shell.
Inoltre, Microsoft ha rivelato un aumento graduale nel numero di attacchi DDoS mirati a organizzazioni sanitarie ospitate su Azure, passando da 10-20 attacchi a novembre 2022 a 40-60 attacchi giornalieri a febbraio 2023.
