400,000 台 Linux 服务器受到 Ebury 僵尸网络影响

专家什么时候才能最终消灭这个难以捉摸的服务器怪物？

根据 ESET 最近的一份报告，自 2009 年以来，Ebury 僵尸网络已感染了近 40 万台 Linux 服务器。截至 2023 年底，约有 10 万台服务器仍面临风险。

最近报告 ESET 僵尸网络 Linux

ESET 研究人员十多年来一直在监控 Ebury 的活动。他们在 2014 年和 2017 年记录了重要的恶意软件更新。荷兰执法机构最近的一项行动提供了有关长期运行的僵尸网络活动的新数据。

“虽然 40 万是一个巨大的数字，但重要的是要了解这是近 15 年来的感染总数。并非所有计算机同时受到感染，”ESET 解释道。 “新服务器不断出现并受到感染，而其他服务器则被清理或停止服务。”

Ebury 的最新攻击旨在攻击托管提供商并进行影响租用虚拟服务器的客户的供应链攻击。

最初的危害是通过使用窃取的凭据进行攻击来实现的，一旦受到危害，恶意软件就会窃取 SSH 连接列表和身份验证密钥以获取对其他系统的访问权限。

“如果known_hosts 文件包含散列信息，攻击者将尝试破解其内容，”ESET 专家警告说。 “在 Ebury 运营商收集的 480 万条记录中，大约 200 万条记录具有哈希主机名。其中 40% 遭到黑客攻击。”

攻击者还可以利用服务器软件中的已知漏洞来提升权限。此外，攻击者有效地利用托管提供商的基础设施在容器或虚拟环境中分发 Ebury。

下一步，恶意软件操作者使用 ARP 欺骗拦截目标服务器上的 SSH 流量。当用户通过 SSH 登录受感染的服务器时，Ebury 会记录他的凭据。