Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нова Linux бот-мрежа SSHStalker користи стар IRC за C2 комуникација

Објавено: 11.02.2026

Новодокументирана Linux бот-мрежа наречена SSHStalker го користи IRC (Internet Relay Chat) протоколот за операции за командување и контрола (C2).

Протоколот е создаден во 1988 година, а неговата употреба го достигнала врвот во 1990-тите, кога станал главно текстуално решение за инстант пораки за групна и приватна комуникација.

Техничките заедници и денес го ценат поради едноставната имплементација, интероперабилноста, малите барања за пропусен опсег и фактот дека не бара графички интерфејс (GUI).

Бот-мрежата SSHStalker се потпира на класични IRC механизми како повеќе C-базирани ботови и редундантност преку повеќе сервери/канали, наместо модерни C2 рамки. Наместо скриеност и техничка новина, таа дава приоритет на издржливост, обем и ниска цена.

Според истражувачите од компанијата за разузнавање за закани Flare, овој пристап се гледа и во други карактеристики на работењето на SSHStalker – како користење „бучни“ SSH скенирања, cron задачи што се извршуваат на секоја минута и искористување на голем број CVE ранливости стари и по 15 години.

„Она што всушност го откривме е гласна, составена ботнет-алатка што комбинира старошколска IRC контрола, компајлирање бинарни датотеки директно на заразените хостови, масовна SSH компромитација и перзистентност базирана на cron. Со други зборови, операција насочена кон обем, која ја фаворизира сигурноста пред скриеноста“, велат од Flare.

IRC каналот „заразени машини“

SSHStalker остварува почетен пристап преку автоматизирано SSH скенирање и brute-force напади, користејќи Go бинарен фајл кој се претставува како популарната open-source алатка за мрежно откривање nmap.

Компромитираните хостови потоа се користат за скенирање на дополнителни SSH цели, што наликува на механизам на ширење сличен на црв (worm-like propagation).

Flare пронашле датотека со резултати од речиси 7.000 бот-скенирања, сите од јануари, при што најголемиот дел биле насочени кон cloud хостинг провајдери, особено во инфраструктурата на Oracle Cloud.

Откако SSHStalker ќе зарази хост, презема GCC алатка за да компајлира payload-и директно на уредот на жртвата, со цел подобра преносливост и избегнување детекција.

Првичните payload-и се C-базирани IRC ботови со вградени (hard-coded) C2 сервери и канали, преку кои новата жртва се приклучува во IRC инфраструктурата на бот-мрежата.

Потоа, малициозниот софтвер презема архиви именувани GS и bootbou, кои содржат варијанти на ботови за оркестрација и секвенционирање на извршување.

Перзистентноста се постигнува преку cron задачи што се извршуваат на секои 60 секунди, активирајќи механизам сличен на watchdog кој проверува дали главниот бот процес работи и повторно го стартува доколку е прекинат.

Бот-мрежата исто така содржи експлоити за 16 CVE ранливости што таргетираат Linux kernel верзии од периодот 2009–2010 година. Овие се користат за ескалација на привилегии откако претходниот brute-force напад ќе овозможи пристап со корисник со ограничени привилегии.

Преглед на ланецот на нападот

Во однос на монетизацијата, Flare забележале дека бот-мрежата врши кражба на AWS клучеви и скенирање на веб-страници. Таа исто така вклучува и алатки за крипто-рударење, како што е високо-перформансниот Ethereum рудар PhoenixMiner.

Присутни се и можности за DDoS (дистрибуирани напади со одбивање на услуга), иако истражувачите наведуваат дека досега не забележале вакви напади. Всушност, моментално ботовите на SSHStalker само се поврзуваат со C2 серверот и потоа остануваат во мирување, што укажува на тестирање или привремено чување на пристапи.

Flare не ја припишува SSHStalker на конкретна заканувачка група, но посочува сличности со ботнет екосистемот Outlaw/Maxlas и различни романски индикатори.

Компанијата препорачува поставување мониторинг решенија за инсталација и извршување на компајлери на продукциски сервери, како и аларми за IRC-тип излезни конекции. Cron задачи со кратки циклуси на извршување од невообичаени патеки се исто така сериозни предупредувачки знаци.

Препораките за ублажување вклучуваат оневозможување на SSH автентикација со лозинка, отстранување на компајлери од продукциски имиџи, спроведување контрола на излезниот сообраќај (egress filtering) и ограничување на извршување од „/dev/shm“.

Извори:

  • Bleeping Computer – New Linux botnet SSHStalker uses old-school IRC for C2 comms Bleeping Computer