Nieuwe Pumabot Botnet richt zich op Linux IoT -apparaten om SSH -referenties te stelen en mijn crypto

Cyberbeveiliging
PumaBot Botnet

Embedded Linux-gebaseerde Internet of Things (IoT) -apparaten zijn het doelwit geworden van een nieuw botnet nagesynchroniseerd Pumabot.

Geschreven in Go, is het botnet ontworpen om brute-force-aanvallen op SSH-instanties uit te voeren om in grootte en schaal uit te breiden en extra malware te leveren aan de geïnfecteerde hosts.

“In plaats van internet te scannen, haalt de malware een lijst op met doelen van een command-and-control (C2) -server en probeert hij SSH-referenties met brute force te forceren,” zei DarkTrace in een analyse gedeeld met The Hacker News. “Bij het verkrijgen van toegang ontvangt het externe opdrachten en stelt het persistentie vast met behulp van systeemservicebestanden.”

De BOTNet-malware is ontworpen om initiële toegang te verkrijgen via succesvol brute-forcing SSH-referenties in een lijst met geoogste IP-adressen met open SSH-poorten. De lijst met IP-adressen op Target wordt opgehaald van een externe server (“SSH.DDOS-CC (.) Org”).

Als onderdeel van zijn brute-force pogingen voert de malware ook verschillende controles uit om te bepalen of het systeem geschikt is en is geen honeypot. Bovendien controleert het de aanwezigheid van de tekenreeks “Pumatronix”, een fabrikant van surveillance- en verkeerscamerasystemen, wat wijst op een poging om ze specifiek uit te schakelen of uit te sluiten.

De malware gaat vervolgens over tot het verzamelen en exfiltreren van basissysteeminformatie naar de C2 -server, waarna deze persistentie instelt en opdrachten van de server wordt uitgevoerd.

“De malware schrijft zich naar /lib /redis, in een poging zichzelf te vermommen als een legitiem Redis -systeembestand,” zei DarkTrace. “Het creëert vervolgens een persistente SystemD -service in/etc/Systemd/System, genaamd Redis.Service of MySQI.Service (let op de spelling van MySQL met een hoofdstad I), afhankelijk van wat hard is gecodeerd in de malware.”

Door dit te doen, kan de malware de indruk wekken dat het goedaardig is en ook herstart. Twee van de opdrachten die door het botnet worden uitgevoerd, zijn “XMRIG” en “NetworkXM” die aangeven dat de gecompromitteerde apparaten worden gebruikt om cryptocurrency op een illegale manier te ontginnen.

De opdrachten worden echter gelanceerd zonder de volledige paden op te geven, een aspect dat aangeeft dat de payloads waarschijnlijk elders op de geïnfecteerde host worden gedownload of uitgepakt. DarkTrace zei dat de analyse van de campagne andere gerelateerde binaries aan het licht bracht waarvan wordt gezegd dat ze worden ingezet als onderdeel van een bredere campagne –

  • DDAEMON, een op GO gebaseerde achterdeur die de binaire “netwerkxm” opneemt in “/usr/src/bao/netwerkxm” en het shell-script “Installx.sh” uitvoert
  • NetworkXM, een SSH Brute-Force-tool die vergelijkbaar is met de beginfase van de Botnet door een wachtwoordlijst op te halen van een C2-server en probeert via SSH verbinding te maken via een lijst met Target IP-adressen
  • Installx.sh, dat wordt gebruikt om een ​​ander shell -script “JC.SH” op te halen uit “1.lusyn (.) XYZ,” toestemming voor het lezen, schrijven en uitvoeren
  • jc.sh, dat is geconfigureerd om een ​​kwaadaardig “pam_unix.so” -bestand van een externe server te downloaden en het te gebruiken om de legitieme tegenhanger op de machine te vervangen, en een ander binair getal “1” op te halen en uit te voeren van dezelfde server
  • pam_unix.so, dat fungeert als een rootkit die inloggegevens steelt door succesvolle aanmeldingen te onderscheppen en ze naar het bestand te schrijven “/usr/bin/con.txt”
  • 1, dat wordt gebruikt om te controleren of het bestand “con.txt” wordt geschreven of verplaatst naar “/usr/bin/” en vervolgens de inhoud ervan naar dezelfde server te exfiltreren

Aangezien de SSH Brute-Force-mogelijkheden van de Botnet Malware IT-Worm-achtige mogelijkheden leveren, moeten gebruikers in de gaten houden om afwijkende SSH-inlogactiviteiten, met name mislukte inlogpogingen, Audit SystemD-services regelmatig te beperken, beoordeelt er bestanden van niet-STADARD-headers. Jieruidashabi.

“De botnet vertegenwoordigt een aanhoudende GO-gebaseerde SSH-dreiging die gebruik maakt van automatisering, inloggegevens brute-forcing en native Linux-tools om controle over gecompromitteerde systemen te verkrijgen en te behouden,” zei DarkTrace.

“Door legitieme binaries (bijv. Redis) na te bootsen, systeem te misbruiken voor persistentie en vingerafdrukken in te bedden om detectie in honeypots of beperkte omgevingen te voorkomen, toont het een intentie aan om verdedigingen te ontwijken.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 10 Pro: Ultimate Preview Guide

Xiaomi’s Xring in-house chips kunnen meer telefoonniveaus voeden

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]