SSHStalker Botnet využívá IRC C2 k ovládání Linux systémů prostřednictvím exploitů starých jader | IT SECURITY NETWORK NEWS

IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

SSHStalker Botnet využívá IRC C2 k ovládání Linux systémů prostřednictvím exploitů starých jader

Výzkumníci v oblasti kybernetické bezpečnosti odhalili podrobnosti o nové botnetové operaci nazvané SSHStalker, která se spoléhá na komunikační protokol Internet Relay Chat (IRC) pro účely velení a řízení (C2).

„Sada nástrojů kombinuje pomocníky pro utajení s exploitací Linuxu z éry legacy: Vedle čističů logů (manipulace s utmp/wtmp/lastlog) a artefaktů třídy rootkit si aktér udržuje rozsáhlý katalog exploitů z éry Linux 2.6.x (CVE z let 2009–2010),“ uvedla společnost zabývající se kybernetickou bezpečností Flare. „Ty mají nízkou hodnotu proti moderním systémům, ale zůstávají účinné proti ‚zapomenuté‘ infrastruktuře a dlouhodobým legacy prostředím.“

SSHStalker kombinuje mechaniku IRC botnetu s automatizovanou operací masového kompromitování, která využívá SSH skener a další snadno dostupné skenery k začlenění zranitelných systémů do sítě a jejich zařazení do IRC kanálů.

Na rozdíl od jiných kampaní, které obvykle využívají takové botnety pro oportunistické úsilí jako distribuované útoky typu denial-of-service (DDoS), proxyjacking nebo těžbu kryptoměn, bylo zjištěno, že SSHStalker udržuje trvalý přístup bez jakéhokoli následného chování po exploitaci.

Toto nečinné chování jej odlišuje a vyvolává možnost, že kompromitovaná infrastruktura je používána pro přípravu, testování nebo strategické udržení přístupu pro budoucí použití.

Základní součástí SSHStalker je skener v jazyce Golang, který skenuje port 22 pro servery s otevřeným SSH, aby rozšířil svůj dosah způsobem podobným červu. Jsou také nasazeny různé payloady, včetně variant bota ovládaného IRC a Perl file bota, který se připojuje k UnrealIRCd IRC serveru, připojuje se ke kontrolnímu kanálu a čeká na příkazy, které mu umožňují provádět flood-style dopravní útoky a ovládat boty.

Útoky jsou také charakterizovány spouštěním souborů programů v jazyce C pro čištění logů SSH připojení a mazání stop škodlivé aktivity z logů, aby se snížila forenzní viditelnost. Kromě toho sada malwaru obsahuje komponentu „keep-alive“, která zajišťuje, že hlavní proces malwaru je znovu spuštěn do 60 sekund v případě, že je ukončen bezpečnostním nástrojem.

SSHStalker je pozoruhodný tím, že kombinuje automatizaci masového kompromitování s katalogem 16 různých zranitelností ovlivňujících jádro Linuxu, z nichž některé sahají až do roku 2009. Některé z chyb použitých v exploitovém modulu jsou CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 a CVE-2010-3437.

Zdroj: thehackernews.com

botnet, linux
security

Anthropic odhalil 22 zranitelností ve Firefoxu pomocí AI modelu Claude Opus 4.6

security

Anthropic odhalil 22 zranitelností ve Firefoxu pomocí AI modelu Claude Opus 4.6

Společnost Anthropic oznámila, že její AI model Claude Opus 4.6 dokázal samostatně identifikovat celkem 22 bezpečnostních zranitelností v prohlížeči Mozilla Firefox. Tento výsledek představuje významný

ČÍST DÁLE »

Radek Vyškovský 11 března, 2026

OpenAI Codex prohledal 1,2 milionu commitů

security

OpenAI Codex prohledal 1,2 milionu commitů a odhalil 10 561 závažných bezpečnostních problémů

OpenAI oznámila, že jeho nástroj Codex pro bezpečnostní analýzu kódu prohledal více než 1,2 milionu commitů a v průběhu tohoto procesu identifikoval celkem 10 561

ČÍST DÁLE »

Radek Vyškovský 11 března, 2026

Qubit Conference 2026 Register

security

V kybernetické bezpečnosti je často stejně důležité být informovaný jako zůstat chráněný.

S rostoucí složitostí hrozeb a tlakem regulátorů se schopnost sdílet zkušenosti napříč odvětvími stává stále cennější. Konference® Qubit Praha 2026 opět spojí lídry v oblasti

ČÍST DÁLE »

Jana Efmertová 10 března, 2026