PumaBot Botnet

Ang isang bagong tuklas na Linux botnet, na tinatawag na PumaBot, ay nagdudulot ng kalituhan sa mga naka-embed na IoT device. Nakasulat sa Go, ang malware na ito ay gumagamit ng mga brute-force na pamamaraan upang basagin ang mga kredensyal ng SSH, na nagde-deploy ng mga nakakahamak na payload kapag nakakuha ng access. Hindi tulad ng mga tradisyunal na botnet na walang pinipiling pag-scan sa internet, ang PumaBot ay nag-zero sa mga partikular na IP address na direktang kinuha mula sa Command-and-Control (C2) server nito.

Precision Targeting: Isang Tactical Shift sa IoT Exploitation

Nakikilala ng PumaBot ang sarili nito sa pamamagitan ng paghila ng mga na-curate na listahan ng target ng IP mula sa C2 server nito (ssh.ddos-cc.org), na nagbibigay-daan dito na magsagawa ng lubos na nakatutok na mga pag-atake. Iniiwasan ng diskarteng ito ang malawak na pag-scan sa internet at nagmumungkahi ng layunin na ikompromiso ang mga partikular na organisasyon o device. Sinusuri pa nito ang mga device para sa isang string na 'Pumatronix' — isang clue na maaaring tumuro sa pag-target sa mga surveillance at traffic camera system na ginawa ng vendor na ito.

Mula sa Recon hanggang sa Root: Lifecycle ng Pag-atake ng PumaBot

Kapag napili na ang isang device, nagsasagawa ang PumaBot ng brute-force na mga pagsubok sa pag-log in sa SSH sa port 22. Kung matagumpay, tatakbo ito ng 'uname -a' upang mangalap ng impormasyon ng system at i-verify na hindi honeypot ang device. Pagkatapos ng pag-verify na ito, ang botnet ay:

• Isinulat nito ang pangunahing binary (jierui) sa /lib/redis
• Nag-i-install ng patuloy na systemd service (redis.service)
• Nag-inject ng sarili nitong SSH key sa authorized_keys para sa pangmatagalang access, kahit na pagkatapos ng mga paglilinis ng system

Higit pa sa Impeksyon: Pagpapatupad ng Utos at Pagnanakaw ng Data

Sa ligtas na pag-access, ang PumaBot ay maaaring magsagawa ng karagdagang mga utos, kabilang ang:

• Pag-deploy ng mga bagong payload
• Exfiltrating sensitibong data
• Pinapadali ang paggalaw sa gilid sa loob ng mga network
• Kasama sa mga natukoy na payload ang:
• Self-update na mga script
• Mga rootkit ng PAM na pumapalit sa pam_unix.so
• Isang daemon binary (pinangalanang 1) na kumikilos bilang isang file watcher

Ang malisyosong PAM module ay nagla-log ng mga kredensyal ng SSH at iniimbak ang mga ito sa con.txt. Ang 1 binary na sinusubaybayan para sa file na ito at, kapag nahanap, i-exfiltrate ito sa C2 server bago ito i-wipe mula sa infected na system — isang kalkuladong hakbang upang masakop ang mga track nito.

Hindi Alam na Saklaw, Mataas na Stakes: Silent Expansion ng PumaBot

Hindi pa natutukoy ng mga mananaliksik ang sukat o rate ng tagumpay ng kampanya ng PumaBot. Ang lawak ng mga listahan ng target na IP ay nananatiling hindi maliwanag. Gayunpaman, ang pagtutok ng botnet sa mas malalim na paglusot sa network, sa halip na mga aktibidad na mababa ang antas tulad ng mga pag-atake ng DDoS, ay nagpapahiwatig na nagdudulot ito ng malaking banta sa corporate at kritikal na imprastraktura.

Manatiling Nauna: Pagtatanggol Laban sa PumaBot at sa Katulad Nito

Upang bawasan ang panganib ng kompromiso ng PumaBot o mga katulad na banta:

• I-update ang firmware sa lahat ng IoT device
• Baguhin ang mga default na kredensyal
• Mag-deploy ng mga firewall at higpitan ang pag-access sa SSH
• Ihiwalay ang mga IoT device sa mga naka-segment na network

Ang mga aktibong kasanayan sa seguridad ay mahalaga upang mapanatili ang mga aktor ng botnet at protektahan ang mga network ng enterprise mula sa mas malalalim na paglabag.