Sieć botów PumaBot

Nowo odkryty botnet Linux, nazwany PumaBot, sieje spustoszenie w urządzeniach IoT. Napisany w Go, ten malware używa metod brute-force do łamania poświadczeń SSH, wdrażając złośliwe ładunki po uzyskaniu dostępu. W przeciwieństwie do tradycyjnych botnetów, które skanują internet bez rozróżnienia, PumaBot koncentruje się na określonych adresach IP pobieranych bezpośrednio z serwera Command-and-Control (C2).

Precyzyjne celowanie: taktyczna zmiana w wykorzystaniu IoT

PumaBot wyróżnia się tym, że pobiera wyselekcjonowane listy adresów IP z serwera C2 (ssh.ddos-cc.org), co pozwala mu na przeprowadzanie wysoce ukierunkowanych ataków. Takie podejście pozwala uniknąć szerokiego skanowania Internetu i sugeruje zamiar naruszenia bezpieczeństwa określonych organizacji lub urządzeń. Sprawdza nawet urządzenia pod kątem ciągu „Pumatronix” — wskazówki, która może wskazywać na celowanie w systemy kamer monitorujących i ruchu ulicznego produkowane przez tego dostawcę.

Od rozpoznania do roota: cykl życia ataku PumaBot

Po wybraniu urządzenia PumaBot wykonuje próby siłowego logowania SSH na porcie 22. Jeśli się powiedzie, uruchamia 'uname -a', aby zebrać informacje o systemie i sprawdzić, czy urządzenie nie jest honeypotem. Po tej weryfikacji botnet:

• Zapisuje swój główny plik binarny (jierui) do /lib/redis
• Instaluje trwałą usługę systemd (redis.service)
• Wstrzykuje własny klucz SSH do pliku authorized_keys, zapewniając długoterminowy dostęp, nawet po oczyszczeniu systemu

Poza infekcją: wykonywanie poleceń i kradzież danych

Dzięki zabezpieczeniu dostępu PumaBot może wykonywać dalsze polecenia, w tym:

• Wdrażanie nowych ładunków
• Wykradanie poufnych danych
• Ułatwianie ruchu bocznego w sieciach
• Wykryte ładunki obejmują:
• Skrypty samoaktualizujące się
• Rootkity PAM zastępujące pam_unix.so
• Demon binarny (nazwany 1) działający jako obserwator plików

Złośliwy moduł PAM rejestruje dane uwierzytelniające SSH i przechowuje je w pliku con.txt. 1 binarny monitoruje ten plik i po jego znalezieniu eksfiltruje go na serwer C2, a następnie usuwa z zainfekowanego systemu — to przemyślany ruch mający na celu zatarcie śladów.

Nieznany zakres, wysokie stawki: cicha ekspansja PumaBot

Badacze nie określili jeszcze skali ani wskaźnika sukcesu kampanii PumaBot. Zakres docelowych list IP pozostaje niejasny. Jednak skupienie botnetu na głębszej infiltracji sieci, a nie na działaniach niskiego szczebla, takich jak ataki DDoS, sugeruje, że stanowi on poważne zagrożenie dla infrastruktury korporacyjnej i krytycznej.

Bądź na bieżąco: Obrona przed PumaBotem i podobnymi

Aby zmniejszyć ryzyko narażenia na atak PumaBot lub podobnych zagrożeń:

• Aktualizuj oprogramowanie układowe na wszystkich urządzeniach IoT
• Zmień domyślne dane uwierzytelniające
• Wdróż zapory sieciowe i ogranicz dostęp SSH
• Izoluj urządzenia IoT w sieciach segmentowanych

Proaktywne praktyki bezpieczeństwa są niezbędne, aby powstrzymać atakujących botnety i ochronić sieci przedsiębiorstw przed poważniejszymi naruszeniami.