Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets PumaBot Botnet

PumaBot Botnet

El Mezo el Botnets
Traduir a:

Una botnet de Linux recentment descoberta, anomenada PumaBot, està causant estralls en dispositius IoT integrats. Escrit en Go, aquest programari maliciós utilitza mètodes de força bruta per desxifrar les credencials SSH, implementant càrregues útils malicioses un cop s'hi obté l'accés. A diferència de les botnets tradicionals que escanegen Internet indiscriminadament, PumaBot es concentra en adreces IP específiques obtingudes directament del seu servidor de comandament i control (C2).

Segmentació de precisió: un canvi tàctic en l’explotació de la IoT

PumaBot es distingeix per obtenir llistes d'IP d'objectius seleccionades del seu servidor C2 (ssh.ddos-cc.org), cosa que li permet dur a terme atacs molt específics. Aquest enfocament evita escanejos amplis d'Internet i suggereix una intenció de comprometre organitzacions o dispositius específics. Fins i tot inspecciona els dispositius per trobar una cadena "Pumatronix", una pista que pot indicar que els sistemes de càmeres de vigilància i trànsit produïts per aquest proveïdor estan dirigits a aquest objectiu.

De Recon a Root: el cicle de vida d’atac de PumaBot

Un cop escollit un dispositiu, PumaBot realitza intents d'inici de sessió SSH de força bruta al port 22. Si té èxit, executa 'uname -a' per recopilar informació del sistema i verificar que el dispositiu no és un honeypot. Després d'aquesta verificació, la botnet:

  • Escriu el seu binari principal (jierui) a /lib/redis
  • Instal·la un servei systemd persistent (redis.service)
  • Injecta la seva pròpia clau SSH a authorized_keys per a l'accés a llarg termini, fins i tot després de neteges del sistema.

Més enllà de la infecció: execució d’ordres i robatori de dades

Amb l'accés protegit, PumaBot pot executar altres ordres, com ara:

  • Desplegament de noves càrregues útils
  • Exfiltració de dades sensibles
  • Facilitar el moviment lateral dins de les xarxes
  • Les càrregues útils detectades inclouen:
  • Scripts d'autoactualització
  • Rootkits PAM que substitueixen pam_unix.so
  • Un binari de daemon (anomenat 1) que actua com a vigilant de fitxers

El mòdul PAM maliciós registra les credencials SSH i les emmagatzema a con.txt. El binari 1 monitoritza aquest fitxer i, un cop trobat, l'exfiltra al servidor C2 abans d'esborrar-lo del sistema infectat, una acció calculada per cobrir les seves petjades.

Abast desconegut, apostes altes: l’expansió silenciosa de PumaBot

Els investigadors encara no han determinat l'escala ni la taxa d'èxit de la campanya de PumaBot. L'abast de les llistes d'IP objectiu encara no està clar. Tanmateix, el fet que la botnet se centri en una infiltració més profunda de la xarxa, en lloc d'activitats de baix grau com els atacs DDoS, suggereix que representa una amenaça important per a les infraestructures corporatives i crítiques.

Mantingueu-vos al capdavant: defensant-vos contra PumaBot i altres tipus

Per reduir el risc de vulnerabilitat per part de PumaBot o amenaces similars:

  • Actualitzar el firmware a tots els dispositius IoT
  • Canvia les credencials predeterminades
  • Implementar tallafocs i restringir l'accés SSH
  • Aïllar dispositius IoT en xarxes segmentades

Les pràctiques de seguretat proactives són essencials per mantenir a ratlla els actors de les botnets i protegir les xarxes empresarials de violacions més profundes.

Tendència

Més vist

Carregant...