حملات باتر همچنان سرورهای لینوکس را هدف قرار میدهد
به گزارش GuardiCore Labs چندین سال است که از فعالیت کمپینی به نام باتر (کره) میگذرد. همانطور که از نام این گروه هکری پیدا است، سرقت اطلاعات برای آنها بسیار ساده و بیدرد سر است. گروه باتر به تازگی و طی حملهای، به سرورهای لینوکس نفوذ پیدا کردهاند.
باتر با یک حمله brute-force SSH به دستگاههای مجهز به لینوکس حملات خود را آغاز میکند. این کمپین با ایجاد یک درب پشتی و نصب یک تروجان، به فعالیت خرابکارانه خود ادامه میدهد.
از سال 2015 تا به حال هزاران حمله از سوی این گروه به ثبت رسیده است. طی دو سال گذشته، آی.پی آدرسهای مورد استفاده باتر در هنگکنگ یا سنگاپور واقع بوده است. دو پیلود رایج توسط این گروه به نامهای Samba و 80 منتشر شده است. بدافزار 80 که قدیمیتر و مقاومتر است، ابزار پیشرفته دسترسی از راه دور بوده و با از بین بردن بدافزارهای رقیب، روتکیت کرنل لینوکس را نصب میکند. پیلود Samba اولینبار در ماه جولای امسال شناسایی شد. Samba یک RAT است که با اجرای دستورات شِل (Sell Commands) و حملات DDoS، برنامه استخراج ارز دیجیتال مونرو را دانلود و نصب میکند.
برای شناسایی هرگونه فعالیت احتمالی گروه باتر، ادمینها باید نام کاربری باتر را در سیستمهایشان جستجو کنند و میزان پردازش CPU را تحت نظر بگیرند.