Существует новая вредоносная программа, которая атакует системы Linux через протокол связи Internet Relay Chat (IRC) с целью захвата командного и контрольного (C2) управления.
Эта новая бот-сеть, получившая название SSHStalker, была обнаружена исследовательской группой Flare с помощью SSH-ханипота. В течение двух месяцев Flare обнаружила несколько попыток, свидетельствующих о довольно сложной операции, в которой использовались технологии старого образца в сочетании с современной автоматизацией.
Согласно отчету, SSHStalker связывает SSH-сканер с быстрой подготовкой для передачи регистрации в каналы IRC и оптимизирован для масштабирования.
«Мы назвали эту операцию «SSHStalker» из-за ее характерного поведения: ботнет поддерживал постоянный доступ, не выполняя никаких заметных операций, несмотря на то, что в его арсенале были возможности для запуска DDoS-атак и проведения криптомайнинга». В отчете далее говорится: «Эта модель «латентной стойкости» — заражение систем и установление контроля без немедленной монетизации — отличает ее от типичных оппортунистических операций ботнетов и предполагает либо подготовку инфраструктуры, либо тестовые фазы, либо стратегическое сохранение доступа для будущего использования».
говориться в отчете
Flare далее заявляет: Мы нашли файл, который указывает на почти 7000 новых результатов от сканера SSH. Эти результаты были получены в январе 2026 года, в непосредственной близости от атаки на наш ханипот.
В отчете содержится несколько рекомендаций по снижению рисков, в том числе такие, как Мониторинг выполнения инструментов gcc, make или build на производственных серверах; использование антивирусных решений для сканирования на наличие вредоносного кода; проверка cron-задач, выполняемых каждую минуту; и многое другое.
Комментарии (0)