Slevová nabídka pro více licencí
Databáze hrozeb Botnety Botnet PumaBot

Botnet PumaBot

V roce Mezo v roce Botnety
Přeložit do:

Nově objevený linuxový botnet s názvem PumaBot ničí vestavěná zařízení internetu věcí. Tento malware, napsaný v jazyce Go, používá metody hrubé síly k prolomení SSH přihlašovacích údajů a po získání přístupu nasazuje škodlivé datové soubory. Na rozdíl od tradičních botnetů, které bez rozdílu prohledávají internet, se PumaBot zaměřuje na konkrétní IP adresy získané přímo z jeho serveru Command-and-Control (C2).

Přesné cílení: Taktický posun ve využívání IoT

PumaBot se odlišuje tím, že ze svého C2 serveru (ssh.ddos-cc.org) stahuje seznamy cílových IP adres, což mu umožňuje provádět vysoce cílené útoky. Tento přístup se vyhýbá rozsáhlému skenování internetu a naznačuje záměr kompromitovat konkrétní organizace nebo zařízení. Dokonce kontroluje zařízení a hledá řetězec „Pumatronix“ – vodítko, které může ukazovat na cílení na systémy dohledu a dopravních kamer od tohoto dodavatele.

Od průzkumu k vykořenění: Životní cyklus útoku PumaBotu

Jakmile je zařízení vybráno, PumaBot provede pokusy o přihlášení přes SSH hrubou silou na portu 22. Pokud je úspěšný, spustí příkaz 'uname -a', aby shromáždil systémové informace a ověřil, zda se zařízení nejedná o honeypot. Po tomto ověření botnet:

  • Zapíše svůj hlavní binární soubor (jierui) do /lib/redis
  • Nainstaluje trvalou službu systemd (redis.service)
  • Vkládá svůj vlastní SSH klíč do authorized_keys pro dlouhodobý přístup, a to i po vyčištění systému.

Za hranicemi infekce: Provádění příkazů a krádež dat

Se zabezpečeným přístupem může PumaBot provádět další příkazy, včetně:

  • Nasazení nových datových částí
  • Únik citlivých dat
  • Usnadnění laterálního pohybu v rámci sítí
  • Mezi detekované datové zátěže patří:
  • Samoaktualizující se skripty
  • PAM rootkity, které nahrazují pam_unix.so
  • Binární démon (s názvem 1) fungující jako hlídač souborů

Škodlivý modul PAM zaznamenává přihlašovací údaje SSH a ukládá je do souboru con.txt. Binární soubor 1 tento soubor sleduje a jakmile je nalezen, odešle jej na server C2 a poté jej vymaže z infikovaného systému – což je promyšlený krok k zahlazení stop.

Neznámý rozsah, vysoké sázky: Tichá expanze PumaBotu

Výzkumníci zatím nestanovili rozsah ani míru úspěšnosti kampaně PumaBot. Rozsah cílových IP adres zůstává nejasný. Zaměření botnetu na hlubší infiltraci sítě spíše než na méně kvalitní aktivity, jako jsou DDoS útoky, však naznačuje, že představuje významnou hrozbu pro firemní a kritickou infrastrukturu.

Zůstaňte o krok napřed: Obrana proti PumaBotovi a jemu podobným virům

Chcete-li snížit riziko napadení virem PumaBot nebo podobnými hrozbami:

  • Aktualizace firmwaru na všech zařízeních IoT
  • Změnit výchozí přihlašovací údaje
  • Nasaďte firewally a omezte přístup SSH
  • Izolace zařízení IoT v segmentovaných sítích

Proaktivní bezpečnostní postupy jsou nezbytné pro udržení aktérů botnetů na uzdě a ochranu podnikových sítí před hlubšími narušeními.

Trendy

Nejvíce shlédnuto

Načítání...