Preventivo sconto multi-licenza
Database delle minacce Botnet Botnet PumaBot

Botnet PumaBot

Entro Mezo nel Botnet
Traduci in:

Una botnet Linux di recente scoperta, denominata PumaBot, sta seminando il caos nei dispositivi IoT embedded. Scritto in Go, questo malware utilizza metodi brute-force per violare le credenziali SSH, distribuendo payload dannosi una volta ottenuto l'accesso. A differenza delle botnet tradizionali che scansionano Internet in modo indiscriminato, PumaBot si concentra su indirizzi IP specifici, recuperati direttamente dal suo server di comando e controllo (C2).

Targeting di precisione: un cambiamento tattico nello sfruttamento dell’IoT

PumaBot si distingue per l'estrazione di elenchi di indirizzi IP target accuratamente selezionati dal suo server C2 (ssh.ddos-cc.org), che gli consentono di condurre attacchi altamente mirati. Questo approccio evita ampie scansioni internet e suggerisce l'intento di compromettere organizzazioni o dispositivi specifici. Ispeziona persino i dispositivi alla ricerca della stringa "Pumatronix", un indizio che potrebbe indicare l'attacco ai sistemi di sorveglianza e di telecamere per il traffico prodotti da questo fornitore.

Dalla ricognizione alla radice: il ciclo di vita degli attacchi di PumaBot

Una volta scelto un dispositivo, PumaBot esegue tentativi di accesso SSH con attacco brute-force sulla porta 22. In caso di successo, esegue "uname -a" per raccogliere informazioni di sistema e verificare che il dispositivo non sia un honeypot. Dopo questa verifica, la botnet:

  • Scrive il suo binario principale (jierui) in /lib/redis
  • Installa un servizio systemd persistente (redis.service)
  • Inietta la propria chiave SSH in authorized_keys per un accesso a lungo termine, anche dopo la pulizia del sistema

Oltre l’infezione: esecuzione di comandi e furto di dati

Con l'accesso protetto, PumaBot può eseguire ulteriori comandi, tra cui:

  • Distribuzione di nuovi payload
  • Esfiltrazione di dati sensibili
  • Facilitare il movimento laterale all'interno delle reti
  • I carichi utili rilevati includono:
  • Script auto-aggiornanti
  • Rootkit PAM che sostituiscono pam_unix.so
  • Un binario demone (denominato 1) che funge da osservatore di file

Il modulo PAM dannoso registra le credenziali SSH e le memorizza in con.txt. Il binario 1 monitora questo file e, una volta trovato, lo esfiltra sul server C2 prima di cancellarlo dal sistema infetto: una mossa calcolata per coprirne le tracce.

Portata sconosciuta, posta in gioco alta: l’espansione silenziosa di PumaBot

I ricercatori non hanno ancora determinato la portata o il tasso di successo della campagna di PumaBot. L'estensione degli elenchi di IP target rimane poco chiara. Tuttavia, il fatto che la botnet si concentri su infiltrazioni di rete più profonde, piuttosto che su attività di basso livello come gli attacchi DDoS, suggerisce che rappresenti una minaccia significativa per le infrastrutture aziendali e critiche.

Restare in vantaggio: difendersi da PumaBot e dai suoi simili

Per ridurre il rischio di compromissione da parte di PumaBot o minacce simili:

  • Aggiorna il firmware su tutti i dispositivi IoT
  • Modifica le credenziali predefinite
  • Distribuisci firewall e limita l'accesso SSH
  • Isolare i dispositivi IoT su reti segmentate

Le pratiche di sicurezza proattive sono essenziali per tenere a bada gli autori di botnet e proteggere le reti aziendali da violazioni più gravi.

Tendenza

I più visti

Caricamento in corso...