Gitpaste-12 Botnet

Gitpaste-12 is een botnet en een uiterst geavanceerde wormbedreiging die is uitgerust met een breed scala aan bedreigende mogelijkheden. De naam Gitpaste-12 is afgeleid van het feit dat bepaalde componenten van de dreiging werden gehost op legitieme services zoals GitHub en Pastebin. Het getal 12 geeft de 12 verschillende aanvalsvectoren aan die door de worm worden uitgebuit - 11 kwetsbaarheden en een telnet brute-force-functie. Twee van de kwetsbaarheden zijn gericht op Apache Struts en MongoDB, twee veelgebruikte open-sourcecomponenten. De malware is ontworpen om op Linux gebaseerde x86-servers en Linux ARM- en MIPS-gebaseerde Internet of Things (IoT) -apparaten te infecteren.

Het feit dat de belangrijkste payload van Gitpaste-12 Botnet werd gehost op echte sites zoals GitHub en Pastebin, maakt het veel moeilijker om de Command-and-Control-infrastructuur (C2, C&C) van malware binnen het gecompromitteerde netwerk te blokkeren. Opgemerkt moet worden dat Gitpaste-12 vanaf juli 2020 enkele maanden op Github aanwezig was, maar werd verwijderd nadat het werd ontdekt door de onderzoekers van Juniper Threat Labs. Hoewel dit de verspreiding van het botnet effectief stopt, kunnen de hackers hun C2-infrastructuur elders vestigen, een mogelijkheid die zeer waarschijnlijk is omdat Gitpaste-12 in actieve ontwikkeling is, zoals blijkt uit verschillende factoren.

Eenmaal binnen het beoogde apparaat beëindigt Gitpaste-12 meerdere lagen van beschermende antimalwaremaatregelen. Het deactiveert firewallregels, apparmor, selinux, enz. Het stelt de hackers vervolgens in staat om reverse shell-commando's uit te voeren met behulp van TCP-poorten 30004 en 30005, zoals waargenomen op sommige van de geïnfecteerde systemen. Gitpaste-12 heeft verschillende modules die verantwoordelijk zijn voor het droppen van een Monero cryptocurrency-mijnwerker op de gecompromitteerde apparaten, het uitvoeren van een op Telnet gebaseerd script voor brute-force aanvallen op Linux-servers en IoT-apparaten, een persistentiemechanisme via cronjob, enz. De worm kan zichzelf verspreiden en infecteer andere machines door een willekeurige / 8 CIDR te kiezen en alle adressen binnen dat bereik te proberen.