I ricercatori dell’ASEC hanno identificato nuovi attacchi contro i server SSH Linux poco protetti. In essi, gli hacker hanno utilizzato il malware Supershell scritto in Go. Questa backdoor offre agli aggressori il controllo remoto sui sistemi compromessi.
Dopo l’infezione iniziale, gli hacker avviano gli scanner per cercare altri obiettivi vulnerabili. Si ritiene che questi attacchi vengano effettuati utilizzando dizionari di password ottenuti da server già infetti.
Gli aggressori utilizzano i comandi wget, curl, tftp e ftpget per scaricare ed eseguire script dannosi. Questi script consentono di ottenere pieno accesso al sistema e installare malware aggiuntivo, quindi nascondere le tracce dell’attacco eliminando i file scaricati.
Installando una backdoor, gli hacker possono installare minatori di criptovaluta nascosti come XMRig su host infetti, che è un tipico modello di attacco sui server Linux vulnerabili. Nella campagna in esame gli hacker hanno utilizzato anche Cobalt Strike per configurare l’accesso remoto e ElfMiner per installare crypto miner.
Gli esperti raccomandano agli amministratori di rafforzare la sicurezza dei propri sistemi, aggiornare regolarmente il software, utilizzare password complesse e abilitare i firewall per ridurre al minimo il rischio di infezione.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
