Новооткрита Go-базирана ботмрежа за Linux, наречена PumaBot, извършва брутални атаки срещу SSH достъп на вградени IoT устройства, за да инсталира зловреден код и да осигури постоянен достъп. Според анализ на Darktrace, зловредният софтуер има висока степен на целенасоченост, като избира жертвите си от списъци с IP адреси, получени от C2 (command-and-control) сървър, вместо да сканира масово интернет пространството.

Специален фокус: камери за видеонаблюдение и трафик

PumaBot се отличава с насоченост към системи за видеонаблюдение, включително трафик камери. Зловредният код проверява дали атакуваните устройства съдържат низа „Pumatronix“, което според Darktrace може да указва конкретен производител или тип устройства.

След като малуерът получи списък с IP адреси от своя C2 сървър (ssh.ddos-cc.org), той извършва атаки c груба сила на порт 22 (SSH), използвайки зададени от C2 сървъра комбинации от потребителско име и парола.

Процес на заразяване и устойчивост

При успешен достъп:

1. Изпълнява uname -a, за да определи средата на устройството и да избегне hонеypot капани.

2. Копира основния си бинарен файл (на име jierui) в /lib/redis.

3. Създава systemd услуга (redis.service), за да гарантира стартиране при рестартиране на устройството.

4. Добавя собствен SSH ключ в authorized_keys, което осигурява постоянен бекдор, дори при премахване на първичната инфекция.

Зловредни компоненти и ексфилтрация

PumaBot може да получава команди за:

• Изтичане на данни (exfiltration);

• Инсталиране на допълнителни полезни товари;

• Събиране на информация за по-дълбоко проникване в мрежата.

Сред засечените допълнителни модули са:

• Самообновяващи се скриптове;

• Зловреден PAM модул, който подменя оригиналния pam_unix.so и прихваща локални и отдалечени SSH логини;

• Демон (бинарен файл с име 1), който наблюдава файл con.txt със записани пароли, ексфилтрира го към C2 сървъра и след това го изтрива, за да заличи следите.

Потенциална заплаха за корпоративната сигурност

PumaBot се различава от традиционните ботмрежи, използвани за DDoS атаки или проксиране на трафик. Според Darktrace, целта на зловредния код е по-дълбоко проникване в мрежи, чрез компрометирани IoT устройства като троянски коне, отварящи пътя към по-ценни системи.

Засега не е известен точният мащаб на кампанията, както и колко обширни са списъците с IP адреси.

Препоръки за защита

За да се предпазите от PumaBot и подобни заплахи:

• Незабавно обновете фърмуера на всички IoT устройства до последната налична версия;

• Сменете фабричните потребителски имена и пароли;

• Поставете IoT устройствата зад защитна стена (firewall);

• Изолирайте ги в отделна мрежа, която няма директен достъп до чувствителни корпоративни системи.