研究人员警告古老僵尸网络病毒Ebury卷土重来

显示全部楼层 · 2024-5-18 13:12:24|发表时间：2024-5-18 13:12:24

近日，安全公司ESET发布了一份报告，揭示了一种名为“Ebury”的僵尸网络病毒的重新活跃。据悉，这种僵尸网络病毒自2009年开始活跃至今已经感染了约40万台Linux主机。
研究人员对这款僵尸网络近期的攻击行动进行了分析，并发现黑客更倾向于针对服务器VPS供应商进行攻击，随后再通过供应链攻击向其旗下租用虚拟机的用户提供服务。
黑客主要利用了泄露的数据库进行撞库入侵服务器，并在成功获取目标主机权限后部署了一系列SSH脚本以获取相关VPS中的密钥，并进一步尝试入侵其他服务器。此外，研究人员还注意到黑客在无法及时修复软件漏洞的服务器上获得了更高的权限。
一旦黑客成功控制了受害服务器，他们便会使用地址解析协议（ARP）将受害服务器的SSH流量重定向至自己的服务器，在第三方用户登录受害服务器提供的服务时截取账号密码等敏感信息，并继续进行撞库攻击。研究人员指出，他们还发现黑客利用此僵尸网络病毒传播其他恶意木马，包括HelimodProxy、HelimodRedirect、HelimodSteal、KernelRedirect以及FrizzySteal。因此，他们呼吁服务器VPS供应商应当密切关注与该僵尸网络相关的病毒入侵事件，并采取相应措施加强网络安全防护工作。