Новооткрита Go-базирана ботмрежа за Linux, наречена PumaBot, извършва брутални атаки срещу SSH достъп на вградени IoT устройства, за да инсталира зловреден код и да осигури постоянен достъп. Според анализ на Darktrace, зловредният софтуер има висока степен на целенасоченост, като избира жертвите си от списъци с IP адреси, получени от C2 (command-and-control) сървър, вместо да сканира масово интернет пространството.
PumaBot се отличава с насоченост към системи за видеонаблюдение, включително трафик камери. Зловредният код проверява дали атакуваните устройства съдържат низа „Pumatronix“, което според Darktrace може да указва конкретен производител или тип устройства.
След като малуерът получи списък с IP адреси от своя C2 сървър (ssh.ddos-cc.org), той извършва атаки c груба сила на порт 22 (SSH), използвайки зададени от C2 сървъра комбинации от потребителско име и парола.
При успешен достъп:
Изпълнява uname -a, за да определи средата на устройството и да избегне hонеypot капани.
Копира основния си бинарен файл (на име jierui) в /lib/redis.
Създава systemd услуга (redis.service), за да гарантира стартиране при рестартиране на устройството.
Добавя собствен SSH ключ в authorized_keys, което осигурява постоянен бекдор, дори при премахване на първичната инфекция.
PumaBot може да получава команди за:
Изтичане на данни (exfiltration);
Инсталиране на допълнителни полезни товари;
Събиране на информация за по-дълбоко проникване в мрежата.
Сред засечените допълнителни модули са:
Самообновяващи се скриптове;
Зловреден PAM модул, който подменя оригиналния pam_unix.so и прихваща локални и отдалечени SSH логини;
Демон (бинарен файл с име 1), който наблюдава файл con.txt със записани пароли, ексфилтрира го към C2 сървъра и след това го изтрива, за да заличи следите.
PumaBot се различава от традиционните ботмрежи, използвани за DDoS атаки или проксиране на трафик. Според Darktrace, целта на зловредния код е по-дълбоко проникване в мрежи, чрез компрометирани IoT устройства като троянски коне, отварящи пътя към по-ценни системи.
Засега не е известен точният мащаб на кампанията, както и колко обширни са списъците с IP адреси.
За да се предпазите от PumaBot и подобни заплахи:
Незабавно обновете фърмуера на всички IoT устройства до последната налична версия;
Сменете фабричните потребителски имена и пароли;
Поставете IoT устройствата зад защитна стена (firewall);
Изолирайте ги в отделна мрежа, която няма директен достъп до чувствителни корпоративни системи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
