Forskare har identifierat en ny Linux-botnet vid namn SSHStalker som använder den föråldrade IRC-protokollen för sina kommando- och kontrolloperationer. Botneten sprids via SSH-skanning och brute force, med fokus på molninfrastruktur. Den utnyttjar gamla sårbarheter och persistensmekanismer för bred infektion.
SSHStalker-botneten, dokumenterad av hotintelligensföretaget Flare, fungerar med Internet Relay Chat (IRC)-protokollet, som ursprungligen utvecklades 1988 och var populärt på 1990-talet för textbaserad meddelandehantering. Detta val betonar enkelhet, låg bandbredd och robusthet genom flera C-baserade botar och redundanta servrar och kanaler, snarare än avancerade stealth-tekniker. Initial infektion sker via ett Go-baserat verktyg maskerat som nätverksskannern nmap, som utför bullriga SSH-skanningar och brute force-attacker. När den är inne i en värd använder skadlig kod den komprometterade systemet för att skanna efter fler mål, vilket möjliggör maskliknande spridning. Flare analyserade en fil med resultat från nästan 7 000 skanningar utförda i januari, främst riktade mot Oracle Cloud-infrastruktur. Efter att ha fått tillgång laddar SSHStalker ner GCC-kompilatorn för att bygga payloads direkt på offrets maskin, vilket förbättrar portabiliteten. Den distribuerar sedan C-kodade IRC-botar med fördefinierade kommando- och kontrollservrar och kanaler för att integrera värden i nätverket. Ytterligare komponenter från arkiv namngivna GS och bootbou hanterar orkestreringen. Persistens upprätthålls genom cron-jobb som körs var 60:e sekund, fungerande som en vakthund för att starta om huvudprocessen om den avslutas. För privilege escalation utnyttjar botneten 16 vanliga sårbarheter och exponeringar (CVEs) från Linuxkärnor daterade 2009-2010, efter initial inträde med låga privilegier. Monetiseringsfunktioner inkluderar skörd av AWS-nycklar, webbplats-skanning och distribution av PhoenixMiner för Ethereum kryptomining. DDoS-verktyg är inbyggda men oanvända hittills; botarna ansluter vanligtvis till C2-servrar och förblir inaktiva, vilket indikerar möjliga tester eller resursupplagring. Flare noterar likheter med Outlaw/Maxlas-botnetfamiljen och rumänskt kopplade indikatorer men har inte knutit den till en specifik grupp. För att motverka den rekommenderar företaget övervakning av kompilatoraktivitet, utgående IRC-trafik och frekventa cron-jobb. Defensiva steg inkluderar att inaktivera SSH-lösenordsinloggning, ta bort kompilatorer från produktionsmiljöer, tillämpa utgående filter och blockera körning i /dev/shm.
