Ботнет ShellBot использует шестнадцатеричные IP-адреса для уклонения от обнаружения

[Artifact]

Вредоносный код проникает всё глубже, обходя стандартные меры защиты.
Злоумышленники, стоящие за ботнетом ShellBot, используют IP-адреса, преобразованные в шестнадцатеричную систему счисления, чтобы проникнуть на уязвимые SSH-серверы Linux и развернуть там вредоносное ПО для проведения DDoS-атак.
В новом отчёте , опубликованном сегодня специалистами AhnLab Security (ASEC), говорится: «Общий порядок действий хакеров остаётся прежним, но вот URL-адрес загрузки, используемый атакующими для установки ShellBot, изменился с обычного IP-адреса на шестнадцатеричное значение».
ShellBot, также известный как PerlBot, нарушает безопасность серверов со слабыми SSH-данными посредством атаки по словарю. Этот вредоносный код используется для организации DDoS-атак и доставки майнеров криптовалют.
Разработанный на Perl, вредоносный код ботнета использует протокол IRC для связи с C2-сервером управления и контроля.
Последние наблюдаемые атаки с использованием ShellBot устанавливают вредоносное ПО, используя шестнадцатеричные IP-адреса. Например, канал связи создаётся для IP-адреса «hxxp://0x2763da4e/», что соответствует адресу «hxxp://39.99.218.78».
Такой способ подключения работает корректно и не вызывает обнаружений, из чего можно сделать вывод, что к подобному ухищрению хакеры пришли намеренно для обхода детектирования на основе URL.
ASEC подчёркивает: «Благодаря использованию curl для загрузки и его возможности поддерживать шестнадцатеричные адреса, аналогично веб-браузерам, ShellBot может быть успешно загружен в среде Linux и выполнен через Perl».
Подобное развитие вредоноса является признаком того, что ShellBot продолжает активно использоваться для кибернападений на Linux-системы. А так как ShellBot может использоваться для установки дополнительного вредоносного ПО или запуска различных типов атак со скомпрометированного сервера, рекомендуется использовать надёжные пароли и регулярно их менять.
Ранее специалисты ASEC раскрыли вредоносную операцию с использованием нестандартных сертификатов с необычно длинными строками для полей «Имя субъекта» и «Имя издателя» для распространения вредоносного ПО, предназначенного для кражи информации — Lumma Stealer и RecordBreaker.
Возвращаясь к ShellBot, можно сказать, что рассмотренная кампания является напоминанием о том, что стандартные механизмы обнаружения могут быть с лёгкостью обойдены с помощью уловок злоумышленников, таких как замена классических IP-адресов на шестнадцатеричные значения.
Всё это подчёркивает необходимость постоянного развития отрасли кибербезопасности, повышения внимания к деталям и готовности к адаптации в условиях постоянно меняющегося ландшафта атак.