הצעת הנחה מרובה רישיונות
מסד נתונים של איומים Botnets PumaBot Botnet

PumaBot Botnet

עד Mezo ב-Botnets
לתרגם ל:

בוטנט לינוקס חדש שהתגלה, המכונה PumaBot, זורע הרס במכשירי IoT משובצים. נוזקה זו, שנכתבה ב-Go, משתמשת בשיטות Brute Force כדי לפרוץ אישורי SSH, ופורסת מטענים זדוניים לאחר קבלת גישה. בניגוד לבוטנטים מסורתיים שסורקים את האינטרנט ללא הבחנה, PumaBot מתמקד בכתובות IP ספציפיות הנלקחות ישירות משרת הפיקוד והשליטה (C2) שלה.

מיקוד מדויק: שינוי טקטי בניצול האינטרנט של הדברים

PumaBot מבדילה את עצמה על ידי שליפת רשימות IP של יעדים משרת ה-C2 שלה (ssh.ddos-cc.org), מה שמאפשר לה לבצע התקפות ממוקדות ביותר. גישה זו נמנעת מסריקות אינטרנט רחבות ומרמזת על כוונה לפגוע בארגונים או מכשירים ספציפיים. היא אפילו בודקת מכשירים עבור מחרוזת 'Pumatronix' - רמז שעשוי להצביע על מיקוד במערכות מעקב ומצלמות תנועה המיוצרות על ידי ספק זה.

מסיור לשורש: מחזור חיי ההתקפה של PumaBot

לאחר בחירת מכשיר, PumaBot מבצע ניסיונות התחברות SSH באמצעות Brute-Force בפורט 22. אם זה מצליח, הוא מפעיל את 'uname -a' כדי לאסוף מידע על המערכת ולאמת שהמכשיר אינו Honeypot. לאחר אימות זה, הבוטנט:

  • כותב את הקובץ הבינארי הראשי שלו (jierui) ל-/lib/redis
  • מתקין שירות systemd מתמשך (redis.service)
  • מזריק מפתח SSH משלו לתוך authorized_keys לגישה לטווח ארוך, גם לאחר ניקוי המערכת

מעבר לזיהום: ביצוע פקודות וגניבת נתונים

לאחר שהגישה מאובטחת, PumaBot יכול לבצע פקודות נוספות, כולל:

  • פריסת מטענים חדשים
  • חילוץ נתונים רגישים
  • הקלה על תנועה רוחבית בתוך רשתות
  • המטענים שזוהו כוללים:
  • סקריפטים שמתעדכנים באופן עצמאי
  • ערכות רוט של PAM המחליפות את pam_unix.so
  • קובץ בינארי של daemon (בשם 1) הפועל כצופה קבצים

מודול ה-PAM הזדוני רושם אישורי SSH ומאחסן אותם בקובץ con.txt. הקובץ הבינארי 1 עוקב אחר קובץ זה, ולאחר איתורו, מסנן אותו לשרת C2 לפני שהוא מוחק אותו מהמערכת הנגועה - צעד מחושב שמטרתו לטשטש את עקבותיו.

היקף לא ידוע, סיכונים גבוהים: ההתרחבות השקטה של PumaBot

חוקרים טרם קבעו את היקף או שיעור ההצלחה של הקמפיין של PumaBot. היקף רשימות ה-IP של היעד נותר לא ברור. עם זאת, התמקדות הבוטנט בחדירה עמוקה יותר לרשת, ולא בפעילויות ברמה נמוכה כמו התקפות DDoS, מצביעה על כך שהיא מהווה איום משמעותי על תשתיות ארגוניות וקריטיות.

הישארו צעד אחד קדימה: הגנה מפני פומהבוט וסוגיו

כדי להפחית את הסיכון לפריצה על ידי PumaBot או איומים דומים:

  • עדכון קושחה בכל מכשירי ה-IoT
  • שינוי פרטי הגישה המוגדרים כברירת מחדל
  • פריסת חומות אש והגבלת גישת SSH
  • בידוד מכשירי IoT ברשתות מפולחות

נהלי אבטחה פרואקטיביים חיוניים כדי להרחיק שחקני בוטנט ולהגן על רשתות ארגוניות מפני פרצות עמוקות יותר.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
34,096
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...