详细内容或原文请订阅后点击阅览
SSHStalker 僵尸网络利用遗留漏洞和 SSH 扫描瞄准 Linux 服务器
新的 Linux 僵尸网络 SSHStalker 使用 2009 年旧漏洞、IRC 机器人和大规模扫描恶意软件感染了大约 7,000 个系统。 Flare 研究人员通过 SSH 蜜罐观察了两个多月,发现了一个先前未记录的名为 SSHStalker 的 Linux 僵尸网络。研究人员从 2026 年初开始运行一个凭证薄弱的 SSH 蜜罐,并发现了一系列与 [...] 不同的入侵行为
来源:Security Affairs _恶意软件SSHStalker 僵尸网络利用遗留漏洞和 SSH 扫描瞄准 Linux 服务器
新的 Linux 僵尸网络 SSHStalker 使用 2009 年旧漏洞、IRC 机器人和大规模扫描恶意软件感染了大约 7,000 个系统。
Flare 研究人员通过 SSH 蜜罐观察了两个多月,发现了一个之前未记录的 Linux 僵尸网络,名为 SSHStalker。研究人员从 2026 年初开始运行一个凭证薄弱的 SSH 蜜罐,并发现了一系列与之前报道的活动不同的入侵行为。在检查了威胁情报数据库、供应商报告和恶意软件存储库后,他们确认此活动为新活动,并将其命名为 SSHStalker。该僵尸网络将 2009 年老式 IRC 僵尸网络策略与现代自动化大规模攻击技术相结合。
“我们将此操作指定为“SSHStalker”,因为它具有独特的行为:僵尸网络在不执行任何可观察到的影响操作的情况下保持持久访问,尽管其拥有发起 DDoS 攻击和进行加密货币挖矿的能力。”阅读 Flare 发表的报告。 “这种“休眠持续”模式(感染系统并建立控制而不立即货币化)将其与典型的机会主义僵尸网络操作区分开来,并建议进行基础设施分期、测试阶段或战略访问保留以供将来使用。”
SSHStalker 依赖 IRC 作为其命令和控制骨干,使用多个基于 C 的机器人、Perl 脚本以及已知的恶意软件系列(例如 Tsunami 和 Keiten)。攻击是高度自动化的,将 SSH 扫描器与快速暂存、主机上编译和自动注册到 IRC 通道相链接,以快速扩大感染范围。
虽然其策略类似于已知的 Outlaw/Maxlas 风格的 Linux 僵尸网络,但没有发现直接归属,表明是衍生或模仿运营商。总体而言,SSHStalker 更看重规模和可靠性,而不是隐匿性,而 Flare 则提供指导来帮助防御者检测和减轻威胁。
该报告包含此威胁的危害指标 (IoC)。