Cybersicherheitsexperten von Aqua Security haben kürzlich eine alarmierende Entdeckung gemacht: Eine hochentwickelte Malware namens „perfctl“ infiziert seit mindestens drei Jahren fehlkonfigurierte und verwundbare Linux-Server. Die primären Ziele dieser Schadsoftware sind Kryptomining und Proxyjacking – zwei lukrative Methoden für Cyberkriminelle, um kompromittierte Systeme auszunutzen.
Ausgeklügelte Tarnungstechniken erschweren die Erkennung
Die perfctl-Malware zeichnet sich durch ihre bemerkenswerte Fähigkeit aus, Erkennungsmechanismen zu umgehen und sich in infizierten Systemen festzusetzen. Experten schätzen, dass Millionen von Linux-Servern weltweit angegriffen wurden, wobei Tausende erfolgreich infiziert wurden. Die Malware zeigt ein hochentwickeltes Verhalten: Sie pausiert ihre Aktivitäten, sobald ein Benutzer sich auf dem Server anmeldet, und setzt ihren Betrieb erst fort, wenn das System wieder inaktiv ist.
Infektionsvektoren und Ausbreitungsmethoden
Die Angreifer nutzen verschiedene Schwachstellen und Fehlkonfigurationen aus, um Zugang zu Linux-Servern zu erlangen. Dazu gehören:
- Öffentlich zugängliche Anmeldeschnittstellen
- Unbeabsichtigt offengelegte Zugangsdaten
- Ausnutzung der RCE-Schwachstelle CVE-2023-33246 in Apache RocketMQ
- Exploitation der PwnKit-Schwachstelle (CVE-2021-4034) in Polkit
Nach der initialen Infektion lädt perfctl eine verschleierte Payload namens „httpd“ herunter. Diese kopiert sich selbst in verschiedene Systemverzeichnisse, um Persistenz zu gewährleisten und einer möglichen Entdeckung zu entgehen.
Funktionsweise und Auswirkungen der perfctl-Malware
Die perfctl-Malware führt eine Reihe von Aktionen durch, um ihre Ziele zu erreichen:
- Etablierung eines verschlüsselten Kommunikationskanals über Tor
- Installation eines Rootkits zur Manipulation von Systemfunktionen
- Ersetzung legitimer Linux-Befehle durch bösartige Versionen
- Ausführung des XMRIG-Miners zur Schürfung von Monero-Kryptowährung
- In einigen Fällen: Implementierung von Proxyjacking-Funktionalität
Besonders besorgniserregend ist die Proxyjacking-Komponente. Im Gegensatz zum ressourcenintensiven Kryptomining ist Proxyjacking schwerer zu erkennen, da es lediglich ungenutzte Bandbreite „stiehlt“, ohne die Systemstabilität zu beeinträchtigen. Die Angreifer monetarisieren diese gestohlene Bandbreite durch den Verkauf über Dienste wie Bitping, Repocket und Speedshare.
Angesichts der Komplexität und Hartnäckigkeit der perfctl-Malware empfehlen Sicherheitsexperten im Falle einer Infektion eine vollständige Neuinstallation des Betriebssystems. Präventive Maßnahmen wie regelmäßige Sicherheitsupdates, strikte Zugriffskontrollen und die Implementierung von Intrusion Detection Systemen sind entscheidend, um Linux-Server vor dieser und ähnlichen Bedrohungen zu schützen. Organisationen sollten ihre Cybersicherheitsstrategien kontinuierlich überprüfen und anpassen, um mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
