Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Botnets PumaBot-botnet

PumaBot-botnet

Tegen Mezo in Botnets
Vertalen naar:

Een nieuw ontdekt Linux-botnet, genaamd PumaBot, richt een ware chaos aan op embedded IoT-apparaten. Deze malware, geschreven in Go, gebruikt brute-force-methoden om SSH-referenties te kraken en implementeert schadelijke payloads zodra toegang is verkregen. In tegenstelling tot traditionele botnets die het internet lukraak scannen, richt PumaBot zich op specifieke IP-adressen die rechtstreeks van zijn Command-and-Control (C2)-server worden opgehaald.

Precieze targeting: een tactische verschuiving in de exploitatie van IoT

PumaBot onderscheidt zich door het ophalen van zorgvuldig samengestelde IP-adressenlijsten van zijn C2-server (ssh.ddos-cc.org), waardoor hij zeer gerichte aanvallen kan uitvoeren. Deze aanpak vermijdt uitgebreide internetscans en suggereert een intentie om specifieke organisaties of apparaten te compromitteren. Het inspecteert apparaten zelfs op een 'Pumatronix'-string – een aanwijzing die kan wijzen op het targeten van bewakings- en verkeerscamerasystemen van deze leverancier.

Van verkenning tot root: de aanvalscyclus van PumaBot

Zodra een apparaat is gekozen, voert PumaBot brute-force SSH-inlogpogingen uit op poort 22. Als dit lukt, voert hij 'uname -a' uit om systeeminformatie te verzamelen en te verifiëren dat het apparaat geen honeypot is. Na deze verificatie:

  • Schrijft het belangrijkste binaire bestand (jierui) naar /lib/redis
  • Installeert een permanente systemd-service (redis.service)
  • Injecteert zijn eigen SSH-sleutel in geautoriseerde_sleutels voor toegang op de lange termijn, zelfs na systeemopschoning

Verder dan infectie: opdrachtuitvoering en gegevensdiefstal

Als de toegang beveiligd is, kan PumaBot verdere opdrachten uitvoeren, waaronder:

  • Nieuwe payloads implementeren
  • Het exfiltreren van gevoelige gegevens
  • Het faciliteren van laterale beweging binnen netwerken
  • Gedetecteerde ladingen omvatten:
  • Zelf-update scripts
  • PAM-rootkits die pam_unix.so vervangen
  • Een daemon-binair bestand (met de naam 1) dat als bestandsbewaker fungeert

De kwaadaardige PAM-module registreert SSH-referenties en slaat deze op in con.txt. De 1-binary controleert op dit bestand en exfiltreert het, zodra het gevonden is, naar de C2-server voordat het van het geïnfecteerde systeem wordt verwijderd – een weloverwogen zet om de sporen ervan uit te wissen.

Onbekende reikwijdte, hoge inzet: de stille uitbreiding van PumaBot

Onderzoekers hebben de omvang of het succespercentage van de campagne van PumaBot nog niet vastgesteld. De omvang van de IP-adressen van de doelwitten blijft onduidelijk. De focus van het botnet op diepere netwerkinfiltratie, in plaats van op laaggradige activiteiten zoals DDoS-aanvallen, suggereert echter dat het een aanzienlijke bedreiging vormt voor de bedrijfs- en kritieke infrastructuur.

Blijf voorop: verdediging tegen PumaBot en soortgelijke robots

Om het risico op inbreuk door PumaBot of soortgelijke bedreigingen te verminderen:

  • Firmware op alle IoT-apparaten bijwerken
  • Standaardreferenties wijzigen
  • Firewalls implementeren en SSH-toegang beperken
  • Isoleer IoT-apparaten op gesegmenteerde netwerken

Proactieve beveiligingsmaatregelen zijn essentieel om botnets buiten de deur te houden en bedrijfsnetwerken te beschermen tegen grotere inbreuken.

Trending

Meest bekeken

Bezig met laden...