Gitpaste-12 Botnet

Gitpaste-12 er et botnet og en ekstremt sofistikeret ormtrussel, der er udstyret med en bred vifte af truende kapaciteter. Navnet Gitpaste-12 stammer fra det faktum, at visse komponenter i truslen var vært for legitime tjenester som GitHub og Pastebin. Nummeret 12 angiver de 12 forskellige angrebsvektorer, der er udnyttet af ormen - 11 sårbarheder og en telnet-brute-force-funktion. To af sårbarhederne er målrettet mod Apache Struts og MongoDB, to almindeligt anvendte open source-komponenter. Malwaren er designet til at inficere Linux-baserede x86-servere og Linux ARM- og MIPS-baserede Internet of Things (IoT) -enheder.

Det faktum, at den største nyttelast af Gitpaste-12 Botnet var hostet på ægte websteder som GitHub og Pastebin, gør det meget sværere at blokere malware's Command-and-Control (C2, C&C) infrastruktur inden for det kompromitterede netværk. Det skal bemærkes, at Gitpaste-12 var til stede på Github i flere måneder startende tilbage i juli 2020, men blev fjernet efter at være blevet opdaget af forskerne ved Juniper Threat Labs. Mens dette stopper udbredelsen af botnet effektivt, kan hackerne etablere deres C2-infrastruktur andre steder, en mulighed, der sandsynligvis skyldes, at Gitpaste-12 er under aktiv udvikling, som det fremgår af flere faktorer.

Når de er inde i den målrettede enhed, afslutter Gitpaste-12 flere lag af beskyttende anti-malware-foranstaltninger. Det deaktiverer firewallregler, apparmor, selinux osv. Det giver derefter hackere mulighed for at udføre reverse shell-kommandoer ved hjælp af TCP-porte 30004 og 30005, som det observeres på nogle af de inficerede systemer. Gitpaste-12 har forskellige moduler, der er ansvarlige for at droppe en Monero-kryptovaluta-minearbejder på de kompromitterede enheder, udføre et Telnet-baseret script til brute-force-angreb mod Linux-servere og IoT-enheder, en persistensmekanisme gennem cronjob osv. Ormen kan udbrede sig selv og inficere andre maskiner ved at vælge en tilfældig / 8 CIDR og prøve alle adresser inden for dette interval.