ESET 研究人员发布了对最先进的服务器端恶意软件活动之一的深入调查。它仍在不断增长，并且在其至少 15 年的运营过程中发现了数十万台服务器遭到入侵。

多年来，Ebury 组织和僵尸网络一直参与垃圾邮件的传播、网络流量重定向和凭据窃取。近年来，他们的犯罪行为已转向信用卡和加密货币盗窃。

此外，Ebury 已被部署为后门，可危害近 400,000 台 Linux、FreeBSD 和 OpenBSD 服务器；截至 2023 年底，仍有超过 100,000 台设备受到威胁。在许多情况下，Ebury 运营商可以获得对 ISP 和知名托管提供商的大型服务器的完全访问权限。

Ebury 至少从 2009 年开始活跃，是一个 OpenSSH 后门和凭证窃取者。它用于部署其他恶意软件以通过僵尸网络（例如用于 Web 流量重定向的模块）、垃圾邮件代理流量、执行中间对手攻击 (AitM) 以及支持恶意基础设施的主机来获利。在 AitM 攻击中，ESET 在 2022 年 2 月至 2023 年 5 月期间观察到 34 个国家/地区超过 75 个网络的 200 多个目标。

其运营商使用 Ebury 僵尸网络窃取加密货币钱包、凭证和信用卡详细信息。 ESET 发现了该团伙为了经济利益而编写和部署的新恶意软件系列，其中包括 Apache 模块和用于重定向 Web 流量的内核模块。 Ebury 运营商还利用管理员软件中的零日漏洞批量破坏服务器。

系统遭到破坏后，一些细节就会被泄露。使用在该系统上获得的已知密码和密钥，可以重复使用凭据来尝试登录相关系统。每个 Ebury 的主要版本都引入了重要的更改、新功能和混淆技术。

“我们记录了托管提供商的基础设施受到 Ebury 损害的案例。在这些情况下，我们看到 Ebury 被部署在这些提供商租用的服务器上，而没有向承租人发出警告。这导致 Ebury 攻击者能够同时危害数千台服务器，” ESET 研究人员Marc-Etienne M. Léveillé说道，他对 Ebury 进行了十多年的调查。埃伯里没有地理边界；世界上几乎所有国家都有受到 Ebury 攻击的服务器。每当托管提供商受到损害时，都会导致同一数据中心内的大量服务器受到损害。

与此同时，没有哪个垂直行业比其他垂直行业更有针对性。受害者包括大学、小型和大型企业、互联网服务提供商、加密货币交易商、Tor 出口节点、共享托管提供商和专用服务器提供商等。

2019 年底，一家大型且受欢迎的美国域名注册商和网络托管提供商的基础设施遭到破坏。总共约有 2,500 台物理服务器和 60,000 台虚拟服务器受到攻击者的攻击。这些服务器中的很大一部分（如果不是全部）由多个用户共享，以托管超过 150 万个帐户的网站。在另一起事件中，该托管提供商总共有 70,000 台服务器在 2023 年遭到 Ebury 的攻击。托管 Linux 内核源代码的 Kernel.org 也曾是 Ebury 的受害者。

“Ebury 对 Linux 安全社区构成了严重的威胁和挑战。没有简单的修复方法可以使 Ebury 失效，但可以应用一些缓解措施来最大程度地减少其传播和影响。需要认识到的一件事是，这种情况不仅仅发生在不太关心安全的组织或个人身上。许多非常精通技术的个人和大型组织都在受害者名单中。”Léveillé 总结道。

文章原文链接:https://www.anquanke.com/post/id/296592