详细内容或原文请订阅后点击阅览
Ebury 还活着但未被发现:40 万台 Linux 服务器被入侵,用于加密货币盗窃和财务收益
最先进的服务器端恶意软件活动之一仍在增长,数十万台服务器受到攻击,并且已经多样化到包括信用卡和加密货币盗窃
来源:WeLiveSecurity _恶意软件ESET 研究
Ebury 仍活跃但未被发现:40 万台 Linux 服务器被入侵,用于加密货币盗窃和财务收益
最先进的服务器端恶意软件活动之一仍在增长,数十万台服务器被入侵,并且已经多样化,包括信用卡和加密货币盗窃
2024 年 5 月 14 日 • ,3 分钟阅读
2024 年 5 月 14 日 • , 3 分钟阅读十年前,我们通过发布一份名为 Operation Windigo 的白皮书提高了人们对 Ebury 的认识,该白皮书记录了一项利用 Linux 恶意软件获取财务收益的活动。今天,我们发布了一篇后续论文,介绍了 Ebury 如何发展,以及其运营商用来通过其 Linux 服务器僵尸网络获利的新恶意软件家族。
温迪戈行动在温迪戈行动发表后,Ebury 的一名犯罪者被捕并被定罪,但这并没有阻止僵尸网络的扩张。正如我们在 2014 年和 2017 年报道的那样,OpenSSH 后门和凭证窃取者 Ebury 仍在更新中。
逮捕和定罪 2014 2017我们维护蜜罐来跟踪新样本和网络指标。然而,随着 Ebury 的发展,运行这样的蜜罐变得越来越困难。例如,当安装 Ebury 时,我们的一个蜜罐并没有完全按照预期做出反应。在花费数小时尝试调试正在发生的事情后,Ebury 运营商最终放弃了服务器并发送了一条消息,表明他们知道我们试图欺骗他们,如图 1 所示。
2021 年,荷兰国家高科技犯罪部门 (NHTCU) 在加密货币盗窃受害者的服务器上发现 Ebury 后与 ESET 取得了联系。通过合作,我们对该组织的近期活动及其使用的恶意软件有了很好的了解。
地图