NUEVAS VARIANTES DEL MALWARE SHELLBOT DDOS

21/03/2023

BOLETÍN NRO 2023-187

Recientemente los servidores Linux con SSH mal administrados, se han convertido en el objetivo de una nueva campaña que implementa diferentes variantes de un malware llamado ShellBot.

Servicios Afectados

• Sistemas operativos Linux

Detalles Tecnicos

CVE: ---		Severidad:   ALTA
Amenaza: ShellBot		Categoría: Malware

ShellBot, también conocido como PerlBot, es un malware DDoS Bot desarrollado en Perl que utiliza el protocolo IRC para comunicarse con el servidor de comando y control (C2), según los investigadores.

ShellBot se instala en servidores que tienen credenciales débiles, pero solo después de que los ciberdelincuentes utilicen el malware para escanear e identificar los sistemas que tienen el puerto SSH 22 abierto.

Se usa una lista de credenciales SSH conocidas para iniciar un ataque de fuerza bruta y vulnerar el servidor para desplegar el payload, luego se usa el protocolo de Internet Relay Chat (IRC) para comunicarse con un servidor remoto. Esto incluye la capacidad de recibir comandos que permiten a ShellBot llevar a cabo ataques DDoS y filtrar la información recopilada.

Un investigador de ciberseguridad dijo que identificó tres versiones diferentes de ShellBot: Modded perlbot v2 de LiGhT, DDoS PBot v2.0 y PowerBots (C) GohacK. Las dos primeras ofrecen una variedad de comandos de ataque DDoS utilizando los protocolos HTTP, TCP y UDP. PowerBots, por otro lado, viene con más capacidades de backdoor para otorgar acceso de reverse shell y cargar archivos arbitrarios desde el host comprometido.

Estos hallazgos llegan casi tres meses después de que ShellBot fuera empleado en ataques dirigidos a servidores Linux que también distribuían mineros de criptomonedas a través de un compilador de scripts de shell.

Si ShellBot se instala, los servidores Linux se pueden utilizar como bots DDoS para realizar ataques DDoS contra objetivos específicos después de recibir un comando del actor de amenaza. Además, el actor de amenaza podría usar varias otras funciones de backdoor, para instalar malware adicional o lanzar diferentes tipos de ataques desde el servidor comprometido.

Indicadores de Compromiso

IP

164[.]90[.]240[.]68

206[.]189[.]139[.]152

176[.]123[.]2[.]3

164[.]132[.]224[.]207

51[.]195[.]42[.]59

192[.]3[.]141[.]163

49[.]212[.]234[.]206

193[.]233[.]202[.]219

34[.]225[.]57[.]146

80[.]94[.]92[.]241

185[.]161[.]208[.]234

39[.]165[.]53[.]17

Dominio

x-x-x[.]online

ftp[.]sh4m

URL

hxxp[:]//gsm[.]ftp[.]sh

hxxp[:]//x-x-x[.]online/ak

hxxp[:]//193[.]233[.]202[.]219/mperl

hxxp[:]//193[.]233[.]202[.]219/niko1

hxxp[:]//34[.]225[.]57[.]146/futai/perl

hxxp[:]//80[.]94[.]92[.]241/bash

hxxp[:]//185[.]161[.]208[.]234/test[.]jpg

hxxp[:]//39[.]165[.]53[.]17[:]8088/iposzz/dred

Hash

MD5: bef1a9a49e201095da0bb26642f65a78

SHA256: d1711a7faffa3cc5ac0c36e3b4852c31e02e899923e8a65bc9d91589e571e753

MD5: 55e5bfa75d72e9b579e59c00eaeb6922

SHA256: f5a26a68344c1ffd136ba73dec9d08f61212872cdba33bd4d7d32733a72e4ed5

MD5: 6d2c754760ccd6e078de931f472c0f72

SHA256: 4dfe94560c7561bf2aceb87132926e5b4080d6e9cd6ea98c4813b0ac0732504f

MD5: 7ca3f23f54e8c027a7e8b517995ae433

SHA256: dc09cf1bdbf8766df7269daf43e0ed9c9d3da948b0af5d049f080632f55572b1

MD5: 2cf90bf5b61d605c116ce4715551b7a3

SHA256: 2220783661db230d0808a5750060950688e2618d462ccbe07f54408154c227c1

MD5: 7bc4c22b0f34ef28b69d83a23a6c88c5

SHA256: 8e3f3cef620f28881a88e685cda157a1fae53525b4e11d83915cfdd413b53c1a

MD5: 176ebfc431daa903ef83e69934759212

SHA256: b7d62d1a145ddda241e624ef94ab31fcca1a13f79e130d0a704586e35745282a

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: New ShellBot DDoS Malware Variants Targeting Poorly Managed Linux Servers
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​