Tsunami Botnet

Een recent opgericht botnet genaamd Tsunami heeft een snelle ontwikkeling doorgemaakt, waarbij infosec-onderzoekers in korte tijd een aanzienlijke toename van zijn mogelijkheden hebben waargenomen. Toen de activiteit van het botnet voor het eerst werd gedetecteerd, zette het een payload in die bestond uit een XMR Monero-cryptominer-variant. Als een compromisvector maakte het misbruik van onjuist geconfigureerde Docker API-systemen. Beide aspecten van het botnet zijn aanzienlijk gewijzigd in de nieuwste versie.

De hackers die verantwoordelijk waren voor het loslaten van het botnet, schakelden de aanvalsvector om, en nu verspreidt Tsunami zichzelf via een WebLogic-kwetsbaarheid. Het maakt in het bijzonder gebruik van de kwetsbaarheid CVE-2020-14882, die een prioriteitsbeoordeling van 9,8 op 10 kreeg. In oktober 2020 publiceerde Oracle een patch die het probleem aanpakt, maar veel doelen zijn niet gepatcht en blijven blootgesteld aan aanvallen. Het aantal malware-payloads dat door het botnet wordt geleverd, is verdubbeld door de toevoeging van Tsunami-binaries naast de eerder waargenomen XMR-cryptominer-varianten. Voor laterale verspreiding binnen het gecompromitteerde netwerk gebruikt het SecureShell door ssh-gebruikers, sleutels, hosts en poorten op te sommen. Infosec-onderzoekers die de onderliggende code van de malware analyseerden, ontdekten twee delen van ongebruikte code. De ene is toegewijd aan het exploiteren van Redis, terwijl de andere SecyreShell brute-forcing kan proberen. Een andere functionaliteit die aan de malware wordt toegevoegd, is de mogelijkheid om specifieke beveiligingsoplossingen en monitoringtools te beëindigen. Het kan ook lopende processen beëindigen voor potentieel concurrerende mijnbouwtools die al door andere bedreigingsactoren op het gecompromitteerde doelwit zouden kunnen zijn geïmplementeerd.

Tijdens zijn meerfasige aanvalsketen levert het botnet meerdere .xms-shellscripts en een nog groter aantal Python-scripts. In het algemeen hebben de shellscripts de taak om de omgeving voor te bereiden op de levering van de malware-payloads. Ze voeren de procesbeëindigingsroutines uit, verwijderen bepaalde eindpuntverdedigingsoplossingen en voeren de laterale SSH-beweging uit door hosts te infecteren waarmee de server eerder in contact is geweest. De .xms-scripts stellen ook het persistentiemechanisme van de dreiging vast door gebruik te maken van cronjobs, die de shell-scripts en de python-scripts met vooraf bepaalde intervallen downloaden en uitvoeren - 1 minuut, 2 minuten, 3 minuten, 30 minuten en elk uur. /etc/init.d/down wordt ook overschreven om ervoor te zorgen dat het systeem bij elke systeemstart blijft bestaan.

Aan de andere kant zijn de Python-scripts de voertuigen die de malware-payloads van het botnet inzetten. Met in totaal vier scripts kunnen ze worden onderverdeeld in twee verschillende groepen. De eerste groep die wordt ingezet, is die voor de XMRig Monero-cryptominer. Het stelt ook zijn eigen persistentiemechanisme vast via cron voordat de tweede scriptgroep wordt gestart. In dit stadium worden de Tsunami-binaries opgehaald en op het doelwit geïnitialiseerd.

De snelle ontwikkeling van het botnet in combinatie met de ontdekking van ongebruikte functionaliteiten die op elk moment kunnen worden ingeschakeld, toont aan dat cybercriminelen hun malwaretools snel kunnen aanpassen en wijzigen.