Оферта за отстъпка за множество лицензи
База данни за заплахи Ботнет мрежи PumaBot ботнет

PumaBot ботнет

До Mezo през Ботнет мрежиг
Превод на:

Новооткрит Linux ботнет, наречен PumaBot, сее хаос в вградени IoT устройства. Написан на Go, този зловреден софтуер използва методи за груба сила, за да разбие SSH идентификационни данни, като разполага със злонамерени полезни товари, след като получи достъп. За разлика от традиционните ботнет мрежи, които сканират интернет безразборно, PumaBot се фокусира върху конкретни IP адреси, извлечени директно от неговия команден и контролен (C2) сървър.

Прецизно насочване: Тактическа промяна в експлоатацията на Интернет на нещата

PumaBot се отличава с това, че извлича списъци с подбрани IP адреси от своя C2 сървър (ssh.ddos-cc.org), което му позволява да извършва силно фокусирани атаки. Този подход избягва широкообхватни интернет сканирания и предполага намерение за компрометиране на конкретни организации или устройства. Той дори проверява устройствата за низ „Pumatronix“ – улика, която може да сочи към насочване към системи за наблюдение и камери за трафик, произведени от този доставчик.

От разузнаване до изкореняване: Жизненият цикъл на атаката на PumaBot

След като устройство бъде избрано, PumaBot извършва опити за влизане през SSH чрез груба сила на порт 22. Ако е успешно, изпълнява „uname -a“, за да събере системна информация и да провери дали устройството не е honeypot. След тази проверка, ботнетът:

  • Записва основния си двоичен файл (jierui) в /lib/redis
  • Инсталира постоянна системна услуга (redis.service)
  • Инжектира собствен SSH ключ в authorized_keys за дългосрочен достъп, дори след почистване на системата.

Отвъд инфекцията: Изпълнение на команди и кражба на данни

С осигурен достъп, PumaBot може да изпълнява допълнителни команди, включително:

  • Разгръщане на нови полезни товари
  • Извличане на чувствителни данни
  • Улесняване на страничното движение в рамките на мрежите
  • Откритите полезни товари включват:
  • Самоактуализиращи се скриптове
  • PAM руткитове, които заместват pam_unix.so
  • Двоичен демон (с име 1), действащ като наблюдател на файлове

Злонамереният PAM модул регистрира SSH идентификационни данни и ги съхранява в con.txt. Двоичният файл 1 следи за този файл и след като бъде намерен, го извлича към C2 сървъра, преди да го изтрие от заразената система – обмислен ход за прикриване на следите.

Неизвестен обхват, високи залози: Тихата експанзия на PumaBot

Изследователите все още не са определили мащаба или процента на успех на кампанията на PumaBot. Обхватът на целевите IP списъци остава неясен. Фокусът на ботнета върху по-дълбока мрежова инфилтрация, а не върху нискокачествени дейности като DDoS атаки, предполага, че той представлява сериозна заплаха за корпоративната и критичната инфраструктура.

Бъдете напред: Защита срещу PumaBot и неговия вид

За да намалите риска от компрометиране от PumaBot или подобни заплахи:

  • Актуализирайте фърмуера на всички IoT устройства
  • Промяна на идентификационните данни по подразбиране
  • Разполагане на защитни стени и ограничаване на SSH достъпа
  • Изолиране на IoT устройства в сегментирани мрежи

Проактивните практики за сигурност са от съществено значение, за да се държат настрана участниците в ботнет мрежите и да се защитят корпоративните мрежи от по-дълбоки пробиви.

Тенденция

Berolorladentra.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Едно-единствено невнимателно кликване може да изложи потребителите на кибер заплахи, тактики или нещо по-лошо. Злонамерени лица непрекъснато усъвършенстват тактиките си, за да мамят, манипулират и...

Най-гледан

Зареждане...