Попуст за више лиценци
Тхреат Датабасе Ботнети PumaBot Botnet

PumaBot Botnet

До Mezo. у Ботнети
Преведи на:

Новооткривени Линукс ботнет, назван ПумаБот, прави хаос на уграђеним IoT уређајима. Написан у Го језику, овај малвер користи методе грубе силе за пробијање SSH акредитива, распоређујући злонамерне корисне податке чим се добије приступ. За разлику од традиционалних ботнета који скенирају интернет неселективно, ПумаБот се фокусира на одређене ИП адресе које се директно преузимају са његовог Командно-контролног (C2) сервера.

Прецизно циљање: Тактичка промена у експлоатацији Интернета ствари

PumaBot се разликује по томе што преузима листе курираних IP циљева са свог C2 сервера (ssh.ddos-cc.org), што му омогућава да спроводи високо фокусиране нападе. Овај приступ избегава широко скенирање интернета и сугерише намеру да се угрозе одређене организације или уређаји. Чак и прегледа уређаје у потрази за низом „Pumatronix“ — трагом који може указивати на циљање система за надзор и саобраћајне камере које производи овај произвођач.

Од извиђања до искорењивања: Животни циклус напада ПумаБота

Када је уређај изабран, PumaBot врши покушаје SSH пријаве методом грубе силе на порту 22. Ако је успешан, покреће „uname -a“ да би прикупио системске информације и проверио да уређај није „honeypot“. Након ове провере, ботнет:

  • Записује свој главни бинарни фајл (jierui) у /lib/redis
  • Инсталира трајну системску услугу (redis.service)
  • Убризгава сопствени SSH кључ у authorized_keys за дугорочни приступ, чак и након чишћења система

Преко инфекције: Извршавање команди и крађа података

Са обезбеђеним приступом, PumaBot може да извршава додатне команде, укључујући:

  • Распоређивање нових корисних оптерећења
  • Извлачење осетљивих података
  • Олакшавање латералног кретања унутар мрежа
  • Детектовани корисни терет укључује:
  • Самоажурирајуће скрипте
  • PAM руткитови који замењују pam_unix.so
  • Бинарни демон (назван 1) који делује као надгледач датотека

Злонамерни PAM модул евидентира SSH акредитиве и чува их у датотеци con.txt. Бинарна датотека 1 прати ову датотеку и, када је пронађе, преноси је на C2 сервер пре него што је обрише са зараженог система — прорачунати потез за прикривање трагова.

Непознат домет, високи улози: Тиха експанзија ПумаБота

Истраживачи још увек нису утврдили обим или стопу успеха кампање ПумаБота. Обим циљних ИП листа остаје нејасан. Међутим, фокус ботнета на дубљу инфилтрацију мреже, а не на активности ниског нивоа попут DDoS напада, сугерише да представља значајну претњу корпоративној и критичној инфраструктури.

Останите испред: Браните се од ПумаБота и његове врсте

Да бисте смањили ризик од угрожавања од стране PumaBot-а или сличних претњи:

  • Ажурирајте фирмвер на свим IoT уређајима
  • Промените подразумеване акредитиве
  • Примените заштитне зидове и ограничите SSH приступ
  • Изолујте IoT уређаје на сегментираним мрежама

Проактивне безбедносне праксе су неопходне како би се актери ботнета држали на одстојању и заштитиле пословне мреже од дубљих провала.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
34,096
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...