Ponuda s popustom na više licenci
Baza prijetnji Botneti PumaBot Botnet

PumaBot Botnet

Do Mezo. Botneti. godine
Prevedi na:

Novootkriveni Linux botnet, nazvan PumaBot, uništava ugrađene IoT uređaje. Napisan u Gou, ovaj zlonamjerni softver koristi metode grube sile za probijanje SSH vjerodajnica, postavljajući zlonamjerne podatke nakon što se dobije pristup. Za razliku od tradicionalnih botneta koji neselektivno skeniraju internet, PumaBot se fokusira na određene IP adrese koje se dohvaćaju izravno s njegovog Command-and-Control (C2) poslužitelja.

Precizno ciljanje: Taktički pomak u iskorištavanju IoT-a

PumaBot se ističe po tome što sa svog C2 servera (ssh.ddos-cc.org) povlači popise odabranih IP adresa, što mu omogućuje provođenje visoko fokusiranih napada. Ovaj pristup izbjegava široko skeniranje interneta i sugerira namjeru kompromitiranja određenih organizacija ili uređaja. Čak pregledava uređaje u potrazi za nizom znakova 'Pumatronix' - tragom koji može ukazivati na ciljanje sustava nadzora i prometnih kamera koje proizvodi ovaj dobavljač.

Od izviđanja do iskorjenjivanja: Životni ciklus napada PumaBota

Nakon što je uređaj odabran, PumaBot izvodi pokušaje prijave putem SSH-a metodom grube sile na portu 22. Ako je uspješan, pokreće 'uname -a' kako bi prikupio informacije o sustavu i provjerio da uređaj nije honeypot. Nakon ove provjere, botnet:

  • Zapisuje svoju glavnu binarnu datoteku (jierui) u /lib/redis
  • Instalira trajnu systemd uslugu (redis.service)
  • Ubrizgava vlastiti SSH ključ u authorized_keys za dugoročni pristup, čak i nakon čišćenja sustava.

Iznad infekcije: Izvršavanje naredbi i krađa podataka

S osiguranim pristupom, PumaBot može izvršavati daljnje naredbe, uključujući:

  • Implementacija novih korisnih tereta
  • Izvlačenje osjetljivih podataka
  • Olakšavanje lateralnog kretanja unutar mreža
  • Detektovani korisni tereti uključuju:
  • Samoažurirajuće skripte
  • PAM rootkitovi koji zamjenjuju pam_unix.so
  • Binarni daemon (nazvan 1) koji djeluje kao nadzornik datoteka

Zlonamjerni PAM modul bilježi SSH vjerodajnice i pohranjuje ih u con.txt. Binarna datoteka 1 prati ovu datoteku i, nakon što je pronađe, izvlači je na C2 poslužitelj prije nego što je izbriše sa zaraženog sustava - proračunati potez za prikrivanje tragova.

Nepoznati doseg, visoki ulozi: PumaBotova tiha ekspanzija

Istraživači još nisu utvrdili opseg ili stopu uspjeha PumaBotove kampanje. Opseg ciljanih IP popisa ostaje nejasan. Međutim, fokus botneta na dublju infiltraciju mreže, a ne na aktivnosti niske razine poput DDoS napada, sugerira da predstavlja značajnu prijetnju korporativnoj i kritičnoj infrastrukturi.

Ostanite ispred: Obrana od PumaBota i njegove vrste

Kako biste smanjili rizik od kompromitiranja od strane PumaBota ili sličnih prijetnji:

  • Ažurirajte firmver na svim IoT uređajima
  • Promjena zadanih vjerodajnica
  • Implementirajte vatrozidove i ograničite SSH pristup
  • Izolirajte IoT uređaje na segmentiranim mrežama

Proaktivne sigurnosne prakse su ključne za držanje aktera botneta na distanci i zaštitu poslovnih mreža od dubljih proboja.

U trendu

Nagledanije

Učitavam...