Rabattoffert för flera licenser
Hotdatabas Botnät PumaBot Botnät

PumaBot Botnät

Med Mezo år Botnät
Översätt till:

Ett nyupptäckt Linux-botnät, kallat PumaBot, orsakar kaos i inbyggda IoT-enheter. Denna skadliga kod, skriven i Go, använder brute-force-metoder för att knäcka SSH-inloggningsuppgifter och distribuerar skadliga nyttolaster när åtkomst erhålls. Till skillnad från traditionella botnät som skannar internet urskillningslöst, fokuserar PumaBot på specifika IP-adresser som hämtas direkt från sin Command-and-Control (C2)-server.

Precisionsmålning: Ett taktiskt skifte inom IoT-exploatering

PumaBot utmärker sig genom att hämta kurerade IP-mållistor från sin C2-server (ssh.ddos-cc.org), vilket gör att den kan utföra mycket fokuserade attacker. Denna metod undviker breda internetskanningar och antyder en avsikt att kompromettera specifika organisationer eller enheter. Den inspekterar till och med enheter för en "Pumatronix"-sträng – en ledtråd som kan peka på att övervaknings- och trafikkamerasystem som produceras av denna leverantör är inriktade på mål.

Från rekognoscering till rot: PumaBots attacklivscykel

När en enhet har valts utför PumaBot brute-force SSH-inloggningsförsök på port 22. Om det lyckas körs 'uname -a' för att samla in systeminformation och verifiera att enheten inte är en honeypot. Efter denna verifiering gör botnätet:

  • Skriver dess huvudsakliga binärfil (jierui) till /lib/redis
  • Installerar en beständig systemd-tjänst (redis.service)
  • Injicerar sin egen SSH-nyckel i authorized_keys för långsiktig åtkomst, även efter systemrensningar.

Bortom infektion: Kommandokörning och datastöld

Med åtkomst säkerställd kan PumaBot utföra ytterligare kommandon, inklusive:

  • Distribuera nya nyttolaster
  • Uttömning av känsliga uppgifter
  • Underlätta lateral rörelse inom nätverk
  • Upptäckta nyttolaster inkluderar:
  • Självuppdaterande skript
  • PAM-rootkits som ersätter pam_unix.so
  • En daemonbinärfil (med namnet 1) som fungerar som en filövervakare

Den skadliga PAM-modulen loggar SSH-inloggningsuppgifter och lagrar dem i con.txt. Binärfilen 1 övervakar den här filen och, när den hittas, exfiltrerar den till C2-servern innan den raderas från det infekterade systemet – ett beräknande drag för att täcka dess spår.

Okänt omfång, höga insatser: PumaBots tysta expansion

Forskare har ännu inte fastställt omfattningen eller framgångsgraden för PumaBots kampanj. Omfattningen av mål-IP-listorna är fortfarande oklar. Botnätets fokus på djupare nätverksinfiltration, snarare än låggradiga aktiviteter som DDoS-attacker, tyder dock på att det utgör ett betydande hot mot företags- och kritisk infrastruktur.

Ligg steget före: Försvar mot PumaBot och dess slag

För att minska risken för att PumaBot eller liknande hot kommer i kontakt med angripare:

  • Uppdatera firmware på alla IoT-enheter
  • Ändra standardinloggningsuppgifter
  • Implementera brandväggar och begränsa SSH-åtkomst
  • Isolera IoT-enheter på segmenterade nätverk

Proaktiva säkerhetsrutiner är avgörande för att hålla botnätsaktörer borta och skydda företagsnätverk från djupare intrång.

Trendigt

Mest sedda

Läser in...