Rabattilbud med flere licenser
Trusseldatabase Botnets PumaBot Botnet

PumaBot Botnet

Med Mezo i Botnets
Oversæt til:

Et nyopdaget Linux-botnet, kaldet PumaBot, skaber kaos på tværs af indlejrede IoT-enheder. Denne malware, der er skrevet i Go, bruger brute-force-metoder til at knække SSH-legitimationsoplysninger og udruller skadelige data, når adgang opnås. I modsætning til traditionelle botnet, der scanner internettet vilkårligt, fokuserer PumaBot på specifikke IP-adresser, der hentes direkte fra dens Command-and-Control (C2)-server.

Præcisionsmålretning: Et taktisk skift i IoT-udnyttelse

PumaBot adskiller sig ved at hente kuraterede IP-mållister fra sin C2-server (ssh.ddos-cc.org), hvilket gør det muligt for den at udføre meget fokuserede angreb. Denne tilgang undgår brede internetscanninger og antyder en intention om at kompromittere specifikke organisationer eller enheder. Den inspicerer endda enheder for en 'Pumatronix'-streng - et spor, der kan pege på målretningen af overvågnings- og trafikkamerasystemer produceret af denne leverandør.

Fra rekognoscering til rod: PumaBots angrebslivscyklus

Når en enhed er valgt, udfører PumaBot brute-force SSH-loginforsøg på port 22. Hvis det lykkes, kører den 'uname -a' for at indsamle systemoplysninger og verificere, at enheden ikke er en honeypot. Efter denne verifikation gør botnettet:

  • Skriver sin primære binære fil (jierui) til /lib/redis
  • Installerer en persistent systemd-tjeneste (redis.service)
  • Indsætter sin egen SSH-nøgle i authorized_keys for langvarig adgang, selv efter systemoprydninger.

Ud over infektion: Kommandoudførelse og datatyveri

Med sikret adgang kan PumaBot udføre yderligere kommandoer, herunder:

  • Implementering af nye nyttelaster
  • Eksfiltrering af følsomme data
  • Fremme af lateral bevægelse inden for netværk
  • Detekterede nyttelaster omfatter:
  • Selvopdaterende scripts
  • PAM rootkits, der erstatter pam_unix.so
  • En dæmonbinær fil (med navnet 1), der fungerer som en filovervågning

Det ondsindede PAM-modul logger SSH-legitimationsoplysninger og gemmer dem i con.txt. Den binære fil 1 overvåger denne fil, og når den er fundet, eksporteres den til C2-serveren, før den slettes fra det inficerede system – et kalkuleret træk for at dække dens spor.

Ukendt omfang, høje indsatser: PumaBots lydløse udvidelse

Forskere har endnu ikke fastslået omfanget eller succesraten for PumaBots kampagne. Omfanget af mål-IP-listerne er fortsat uklart. Botnettets fokus på dybere netværksinfiltration snarere end lavgradige aktiviteter som DDoS-angreb tyder dog på, at det udgør en betydelig trussel mod virksomheder og kritisk infrastruktur.

Vær på forkant: Forsvar mod PumaBot og dens slags

For at reducere risikoen for kompromittering af PumaBot eller lignende trusler:

  • Opdater firmware på alle IoT-enheder
  • Skift standardoplysninger
  • Implementer firewalls og begræns SSH-adgang
  • Isoler IoT-enheder på segmenterede netværk

Proaktive sikkerhedspraksisser er afgørende for at holde botnet-aktører på afstand og beskytte virksomhedsnetværk mod dybereliggende brud.

Trending

Mest sete

Indlæser...