Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Rețeaua de bot PumaBot

Rețeaua de bot PumaBot

Până în Mezo în Rețele bot
Tradu in:

O rețea de bot-uri Linux recent descoperită, numită PumaBot, face ravagii în dispozitivele IoT integrate. Scrisă în Go, această aplicație malware folosește metode de forță brută pentru a sparge acreditările SSH, implementând sarcini utile malițioase odată ce accesul este obținut. Spre deosebire de rețelele de bot-uri tradiționale care scanează internetul fără discriminare, PumaBot se concentrează pe adrese IP specifice preluate direct de pe serverul său de comandă și control (C2).

Țintirea de precizie: o schimbare tactică în exploatarea IoT

PumaBot se distinge prin extragerea unor liste de IP-uri selectate de pe serverul său C2 (ssh.ddos-cc.org), permițându-i să efectueze atacuri extrem de specifice. Această abordare evită scanările extinse ale internetului și sugerează intenția de a compromite anumite organizații sau dispozitive. Inspectează chiar și dispozitivele pentru un șir de caractere „Pumatronix” - un indiciu care ar putea indica direcționarea sistemelor de supraveghere și camere de trafic produse de acest furnizor.

De la Recon la Root: Ciclul de viață al atacului PumaBot

Odată ce un dispozitiv este ales, PumaBot efectuează încercări de conectare SSH prin forță brută pe portul 22. Dacă are succes, execută comanda „uname -a” pentru a colecta informații despre sistem și a verifica dacă dispozitivul nu este un honeypot. După această verificare, botnet-ul:

  • Scrie binarul principal (jierui) în /lib/redis
  • Instalează un serviciu systemd persistent (redis.service)
  • Injectează propria cheie SSH în authorized_keys pentru acces pe termen lung, chiar și după curățarea sistemului

Dincolo de infecție: Executarea comenzilor și furtul de date

Cu accesul securizat, PumaBot poate executa comenzi suplimentare, inclusiv:

  • Implementarea de noi sarcini utile
  • Exfiltrarea datelor sensibile
  • Facilitarea mișcării laterale în cadrul rețelelor
  • Sarcinile utile detectate includ:
  • Scripturi care se actualizează automat
  • Rootkit-uri PAM care înlocuiesc pam_unix.so
  • Un fișier binar daemon (numit 1) care acționează ca un observator de fișiere

Modulul PAM malițios înregistrează acreditările SSH și le stochează în con.txt. Fișierul binar 1 monitorizează acest fișier și, odată găsit, îl exfiltrează pe serverul C2 înainte de a-l șterge din sistemul infectat — o mișcare calculată pentru a-i acoperi urmele.

Domeniu de aplicare necunoscut, miză mare: Expansiunea silențioasă a PumaBot

Cercetătorii nu au determinat încă amploarea sau rata de succes a campaniei PumaBot. Amploarea listelor de IP-uri țintă rămâne neclară. Cu toate acestea, concentrarea botnet-ului pe infiltrarea mai profundă a rețelei, mai degrabă decât pe activități de grad scăzut, cum ar fi atacurile DDoS, sugerează că reprezintă o amenințare semnificativă la adresa infrastructurii corporative și a celei critice.

Rămâi cu un pas înainte: Apărarea împotriva PumaBot și a altor specii similare

Pentru a reduce riscul de compromitere din partea PumaBot sau a unor amenințări similare:

  • Actualizați firmware-ul pe toate dispozitivele IoT
  • Schimbați acreditările implicite
  • Implementați firewall-uri și restricționați accesul SSH
  • Izolați dispozitivele IoT în rețele segmentate

Practicile proactive de securitate sunt esențiale pentru a ține la distanță actorii botnet și pentru a proteja rețelele întreprinderilor de breșe mai profunde.

Trending

Cele mai văzute

Se încarcă...