Скидка на мультилицензию
База данных угроз Ботнеты Ботнет PumaBot

Ботнет PumaBot

К Mezo году в Ботнеты году
Перевести на:

Недавно обнаруженный Linux-ботнет, получивший название PumaBot, сеет хаос среди встроенных устройств IoT. Написанный на Go, этот вредоносный код использует методы грубой силы для взлома учетных данных SSH, развертывая вредоносные полезные нагрузки после получения доступа. В отличие от традиционных ботнетов, которые сканируют Интернет без разбора, PumaBot фокусируется на определенных IP-адресах, полученных непосредственно с его сервера Command-and-Control (C2).

Точное нацеливание: тактический сдвиг в использовании Интернета вещей

PumaBot отличается тем, что извлекает списки целевых IP-адресов из своего сервера C2 (ssh.ddos-cc.org), что позволяет ему проводить узконаправленные атаки. Такой подход позволяет избежать широкомасштабного сканирования интернета и предполагает намерение скомпрометировать определенные организации или устройства. Он даже проверяет устройства на наличие строки «Pumatronix» — подсказки, которая может указывать на нацеливание на системы видеонаблюдения и дорожных камер, производимые этим поставщиком.

От разведки до уничтожения: жизненный цикл атаки PumaBot

После выбора устройства PumaBot выполняет попытки входа в систему SSH методом подбора паролей на порту 22. В случае успеха он запускает 'uname -a' для сбора системной информации и проверки того, что устройство не является honeypot. После этой проверки ботнет:

  • Записывает свой основной двоичный файл (jierui) в /lib/redis
  • Устанавливает постоянную службу systemd (redis.service)
  • Внедряет собственный ключ SSH в authorized_keys для долгосрочного доступа, даже после очистки системы

За пределами заражения: выполнение команд и кража данных

При защищенном доступе PumaBot может выполнять дополнительные команды, в том числе:

  • Развертывание новых полезных нагрузок
  • Извлечение конфиденциальных данных
  • Содействие горизонтальному движению внутри сетей
  • Обнаруженные полезные нагрузки включают:
  • Самообновляющиеся скрипты
  • Руткиты PAM, заменяющие pam_unix.so
  • Двоичный файл демона (с именем 1), действующий как наблюдатель за файлами

Вредоносный модуль PAM регистрирует учетные данные SSH и сохраняет их в con.txt. Двоичный файл 1 отслеживает этот файл и, как только находит его, пересылает его на сервер C2, прежде чем стереть его из зараженной системы — расчетливый ход, чтобы замести следы.

Неизвестный масштаб, высокие ставки: тихое расширение PumaBot

Исследователи пока не определили масштаб или успешность кампании PumaBot. Размер целевых списков IP-адресов остается неясным. Однако фокус ботнета на более глубоком сетевом проникновении, а не на низкоуровневых действиях, таких как DDoS-атаки, предполагает, что он представляет значительную угрозу для корпоративной и критической инфраструктуры.

Оставайтесь впереди: защита от PumaBot и ему подобных

Чтобы снизить риск компрометации со стороны PumaBot или аналогичных угроз:

  • Обновление прошивки на всех устройствах IoT
  • Изменить учетные данные по умолчанию
  • Разверните брандмауэры и ограничьте доступ по SSH
  • Изолируйте устройства IoT в сегментированных сетях

Проактивные меры безопасности имеют решающее значение для сдерживания ботнет-агентов и защиты корпоративных сетей от более серьезных нарушений.

В тренде

Perwousesoc.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Интернет полон как ценной информации, так и скрытых ловушек. Хотя просмотр кажется обыденным, один неосторожный клик на неправильном сайте может открыть дверь тактикам, вредоносным программам и...

Berolorladentra.co.in

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Один неосторожный клик может подвергнуть пользователей киберугрозам, тактикам или чему-то похуже. Злонамеренные субъекты постоянно совершенствуют свои тактики, чтобы обманывать, манипулировать и...

Наиболее просматриваемые

Загрузка...