PumaBot Botnett

Med Mezo i Botnett

Oversett til:

Et nylig oppdaget Linux-botnett, kalt PumaBot, herjer på tvers av innebygde IoT-enheter. Skrevet i Go, bruker denne skadelige programvaren brute-force-metoder for å knekke SSH-legitimasjon, og distribuerer skadelige nyttelaster når tilgang er oppnådd. I motsetning til tradisjonelle botnett som skanner internett vilkårlig, fokuserer PumaBot på spesifikke IP-adresser hentet direkte fra sin Command-and-Control (C2)-server.

Innholdsfortegnelse

Presisjonsmålretting: Et taktisk skifte i IoT-utnyttelse

PumaBot skiller seg ut ved å hente kuraterte IP-mållister fra C2-serveren sin (ssh.ddos-cc.org), slik at den kan utføre svært fokuserte angrep. Denne tilnærmingen unngår brede internettskanninger og antyder en intensjon om å kompromittere bestemte organisasjoner eller enheter. Den inspiserer til og med enheter for en «Pumatronix»-streng – en ledetråd som kan peke på målrettethet mot overvåkings- og trafikkamerasystemer produsert av denne leverandøren.

Fra rekognosering til rot: PumaBots angrepslivssyklus

Når en enhet er valgt, utfører PumaBot brute-force SSH-påloggingsforsøk på port 22. Hvis det lykkes, kjører den 'uname -a' for å samle systeminformasjon og bekrefte at enheten ikke er en honeypot. Etter denne bekreftelsen gjør botnettet følgende:

Skriver hovedbinærfilen (jierui) til /lib/redis
Installerer en vedvarende systemd-tjeneste (redis.service)
Injiserer sin egen SSH-nøkkel i authorized_keys for langsiktig tilgang, selv etter systemopprydding

Utover infeksjon: Kommandokjøring og datatyveri

Med sikret tilgang kan PumaBot utføre ytterligere kommandoer, inkludert:

Distribuere nye nyttelaster
Utfiltrering av sensitive data
Tilrettelegging for lateral bevegelse i nettverk
Oppdagede nyttelaster inkluderer:
Selvoppdaterende skript
PAM-rootkits som erstatter pam_unix.so
En daemon-binærfil (med navnet 1) som fungerer som en filovervåker

Den ondsinnede PAM-modulen logger SSH-legitimasjon og lagrer den i con.txt. Binærfilen 1 overvåker denne filen, og når den blir funnet, filtrerer den ut til C2-serveren før den slettes fra det infiserte systemet – et kalkulert trekk for å dekke over sporene.

Ukjent omfang, høy innsats: PumaBots stille utvidelse

Forskere har ennå ikke fastslått omfanget eller suksessraten til PumaBots kampanje. Omfanget av mål-IP-listene er fortsatt uklart. Botnettets fokus på dypere nettverksinfiltrasjon, snarere enn lavgradige aktiviteter som DDoS-angrep, tyder imidlertid på at det utgjør en betydelig trussel mot bedrifts- og kritisk infrastruktur.

Hold deg i forkant: Forsvar mot PumaBot og dens slag

For å redusere risikoen for kompromittering av PumaBot eller lignende trusler:

Oppdater fastvaren på alle IoT-enheter
Endre standardlegitimasjon
Implementer brannmurer og begrens SSH-tilgang
Isoler IoT-enheter på segmenterte nettverk

Proaktive sikkerhetsrutiner er avgjørende for å holde botnettaktører unna og beskytte bedriftsnettverk mot dypere sikkerhetsbrudd.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region

PumaBot Botnett

Presisjonsmålretting: Et taktisk skifte i IoT-utnyttelse

Fra rekognosering til rot: PumaBots angrepslivssyklus

Utover infeksjon: Kommandokjøring og datatyveri

Ukjent omfang, høy innsats: PumaBots stille utvidelse

Hold deg i forkant: Forsvar mot PumaBot og dens slag

Legg inn kommentar

Trender

Perwousesoc.com

Berolorladentra.co.in

HyperLend Vote Rewards-svindel

Mest sett

Hva er 'msedgewebview2.exe'?

Hva er Msedge.exe?

Skadevare