ShellBot Menggunakan IP Hex untuk Menghindari Deteksi Serangan di Server SSH Linux

 

Pelaku ancaman di balik ShellBot memanfaatkan alamat IP yang diubah menjadi notasi heksadesimal untuk menyusup ke server SSH Linux yang dikelola dengan buruk dan menyebarkan malware DDoS.

 “Aliran keseluruhannya tetap sama, tetapi URL unduhan yang digunakan oleh pelaku ancaman untuk menginstal ShellBot telah berubah dari alamat IP biasa menjadi nilai heksadesimal,” kata Pusat Tanggap Darurat Keamanan AhnLab (ASEC) dalam laporan baru yang diterbitkan hari ini.

 ShellBot, juga dikenal dengan nama PerlBot, diketahui melanggar server yang memiliki kredensial SSH yang lemah melalui serangan kamus, dengan malware tersebut digunakan sebagai saluran untuk melancarkan serangan DDoS dan mengirimkan penambang mata uang kripto.

Dikembangkan di Perl, malware ini menggunakan protokol IRC untuk berkomunikasi dengan server perintah dan kontrol (C2). Serangkaian serangan terbaru yang diamati melibatkan ShellBot ditemukan menginstal malware menggunakan alamat IP heksadesimal – hxxp://0x2763da4e/ yang sesuai dengan 39.99.218[.]78 – yang dianggap sebagai upaya untuk menghindari tanda tangan deteksi berbasis URL .

 “Karena penggunaan curl untuk pengunduhan dan kemampuannya untuk mendukung heksadesimal seperti browser web, ShellBot dapat diunduh dengan sukses di lingkungan sistem Linux dan dijalankan melalui Perl,” kata ASEC. Perkembangan ini merupakan tanda bahwa ShellBot terus digunakan secara stabil untuk melancarkan serangan terhadap sistem Linux.

 Karena ShellBot mampu digunakan untuk menginstal malware tambahan atau meluncurkan berbagai jenis serangan dari server yang disusupi, disarankan agar pengguna beralih ke kata sandi yang kuat dan mengubahnya secara berkala untuk melawan serangan brute force dan kamus.

Pengungkapan ini juga terjadi ketika ASEC mengungkapkan bahwa penyerang mempersenjatai sertifikat abnormal dengan string yang sangat panjang untuk bidang Nama Subjek dan Nama Penerbit dalam upaya untuk mendistribusikan malware pencuri informasi seperti Lumma Stealer dan varian RedLine Stealer yang dikenal sebagai RecordBreaker.

 “Jenis malware ini didistribusikan melalui halaman berbahaya yang mudah diakses melalui mesin pencari (keracunan SEO), sehingga menimbulkan ancaman bagi banyak pengguna yang tidak ditentukan,” kata ASEC.

 “Halaman berbahaya ini terutama menggunakan kata kunci yang terkait dengan program ilegal seperti serial, keygen, dan crack.”