لقد حدد الباحثون شبكة بوتات لينكس جديدة تُدعى SSHStalker تعتمد على بروتوكول IRC القديم لعمليات التحكم والقيادة. تنتشر الشبكة عبر مسح SSH وهجمات القوة الغاشمة، مستهدفة بنية تحتية السحابة. تدمج ثغرات أمنية قديمة وآليات استمرارية للعدوى الواسعة.
شبكة بوتات SSHStalker، التي وثقتها شركة الاستخبارات الأمنية Flare، تعمل باستخدام بروتوكول Internet Relay Chat (IRC)، الذي طور أصلاً في عام 1988 وكان شائعاً في التسعينيات للرسائل النصية. هذا الاختيار يبرز البساطة وانخفاض عرض النطاق الترددي والمرونة من خلال بوتات متعددة مبنية على C وخوادم وقنوات احتياطية، بدلاً من تقنيات التخفي المتقدمة. تحدث العدوى الأولية عبر أداة مبنية على Go متنكرة كماسح الشبكة nmap، والتي تقوم بمسح SSH صاخب وهجمات قوة غاشمة. بمجرد الدخول إلى مضيف، يستخدم البرمجيات الضارة النظام المخترق لمسح المزيد من الأهداف، مما يمكن الانتشار الشبيه بالدودة. حللت Flare ملفاً يحتوي على نتائج من حوالي 7000 مسح أجري في يناير، موجهة بشكل رئيسي إلى بنية Oracle Cloud. بعد الحصول على الوصول، تقوم SSHStalker بتنزيل مصنع GCC لبناء الحمولات مباشرة على جهاز الضحية، مما يعزز القابلية للنقل. ثم تنشر بوتات IRC المكودة بلغة C مع خوادم وقنوات تحكم وقيادة محددة مسبقاً لدمج المضيف في الشبكة. مكونات إضافية من أرشيفات تُدعى GS وbootbou تتعامل مع التنسيق. يتم الحفاظ على الاستمرارية من خلال وظائف cron تعمل كل 60 ثانية، تعمل كحارس لإعادة تشغيل العملية الرئيسية إذا تم إنهاؤها. لتصعيد الامتيازات، تستغل الشبكة 16 ثغرة أمنية شائعة وتعرضات (CVEs) من نوى لينكس تعود إلى 2009-2010، بعد الدخول الأولي بامتيازات منخفضة. تشمل ميزات الربح جمع مفاتيح AWS، ومسح المواقع الإلكترونية، ونشر PhoenixMiner لتعدين العملات المشفرة Ethereum. أدوات DDoS مدمجة لكن غير مستخدمة حتى الآن؛ عادةً ما تتصل البوتات بخوادم C2 وتبقى خاملة، مما يشير إلى اختبارات محتملة أو تخزين موارد. تلاحظ Flare تشابهات مع عائلة بوتنت Outlaw/Maxlas ومؤشرات مرتبطة برومانيا لكنها لم تربطها بمجموعة محددة. لمواجهتها، تنصح الشركة بمراقبة نشاط المصنع، حركة المرور الصادرة IRC، ووظائف cron المتكررة. تشمل الخطوات الدفاعية تعطيل تسجيلات SSH بكلمة المرور، إزالة المصنعات من بيئات الإنتاج، تطبيق فلاتر الخروج، وحظر التنفيذ في /dev/shm.
