عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد شبكات الروبوتات شبكة بوتات PumaBot

شبكة بوتات PumaBot

بواسطة Mezo في شبكات الروبوتات
ترجمة الى:

شبكة بوت نت (بوت نت) لينكس مُكتشفة حديثًا، تُسمى PumaBot، تُلحق أضرارًا بالغة بأجهزة إنترنت الأشياء المُدمجة. هذه البرمجية الخبيثة، المُصممة بلغة Go، تستخدم أساليب القوة الغاشمة لاختراق بيانات اعتماد SSH، ونشر حمولات خبيثة بمجرد الوصول إليها. بخلاف شبكات البوت نت التقليدية التي تُجري مسحًا عشوائيًا للإنترنت، تُركز PumaBot على عناوين IP مُحددة يتم جلبها مُباشرةً من خادم القيادة والتحكم (C2).

الاستهداف الدقيق: تحول تكتيكي في استغلال إنترنت الأشياء

يتميز PumaBot بسحب قوائم عناوين IP مُختارة بعناية من خادم C2 الخاص به (ssh.ddos-cc.org)، مما يسمح له بشن هجمات مُركزة للغاية. يتجنب هذا النهج عمليات مسح واسعة النطاق للإنترنت، ويُشير إلى نية اختراق مؤسسات أو أجهزة مُحددة. حتى أنه يفحص الأجهزة بحثًا عن سلسلة "Pumatronix" - وهو دليل قد يُشير إلى استهداف أنظمة المراقبة وكاميرات المرور التي ينتجها هذا المُورّد.

من الاستطلاع إلى الجذر: دورة حياة هجوم PumaBot

بمجرد اختيار جهاز، يُجري PumaBot محاولات تسجيل دخول SSH بالقوة الغاشمة على المنفذ ٢٢. في حال نجاحه، يُشغّل الأمر "uname -a" لجمع معلومات النظام والتحقق من أن الجهاز ليس مصيدة برمجيات خبيثة. بعد هذا التحقق، تقوم شبكة الروبوتات بما يلي:

  • يكتب الملف الثنائي الرئيسي (jierui) إلى /lib/redis
  • تثبيت خدمة systemd الدائمة (redis.service)
  • يقوم بحقن مفتاح SSH الخاص به في author_keys للوصول طويل الأمد، حتى بعد عمليات تنظيف النظام

ما وراء العدوى: تنفيذ الأوامر وسرقة البيانات

بفضل تأمين الوصول، يمكن لـ PumaBot تنفيذ المزيد من الأوامر، بما في ذلك:

  • نشر حمولات جديدة
  • استخراج البيانات الحساسة
  • تسهيل الحركة الجانبية داخل الشبكات
  • تشمل الحمولات المكتشفة ما يلي:
  • البرامج النصية ذاتية التحديث
  • أدوات الجذر PAM التي تحل محل pam_unix.so
  • ثنائي شيطاني (يُسمى 1) يعمل كمراقب للملفات

تسجل وحدة PAM الخبيثة بيانات اعتماد SSH وتخزنها في ملف con.txt. يراقب الملف الثنائي 1 هذا الملف، وبمجرد العثور عليه، يُسرّبه إلى خادم C2 قبل مسحه من النظام المصاب - وهي خطوة مدروسة لإخفاء آثاره.

نطاق غير معروف، مخاطر عالية: التوسع الصامت لـ PumaBot

لم يحدد الباحثون بعد نطاق حملة PumaBot أو معدل نجاحها. ولا يزال نطاق قوائم عناوين IP المستهدفة غير واضح. ومع ذلك، فإن تركيز شبكة البوت نت على التسلل العميق للشبكات، بدلاً من الأنشطة البسيطة مثل هجمات الحرمان من الخدمة الموزعة (DDoS)، يشير إلى أنها تُشكل تهديدًا كبيرًا للشركات والبنية التحتية الحيوية.

البقاء في المقدمة: الدفاع ضد PumaBot وأمثاله

لتقليل خطر التعرض للخطر من خلال PumaBot أو التهديدات المماثلة:

  • تحديث البرامج الثابتة على جميع أجهزة إنترنت الأشياء
  • تغيير بيانات الاعتماد الافتراضية
  • نشر جدران الحماية وتقييد الوصول عبر SSH
  • عزل أجهزة إنترنت الأشياء على الشبكات المجزأة

تعتبر ممارسات الأمان الاستباقية ضرورية لإبقاء الجهات الفاعلة في شبكات الروبوتات تحت السيطرة وحماية شبكات المؤسسات من الخروقات العميقة.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
34,096
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...