Cybersicherheitsforscher von Darktrace haben eine neuartige Malware namens PumaBot identifiziert, die in der Programmiersprache Go entwickelt wurde und gezielt Linux-basierte IoT-Systeme über SSH-Schwachstellen angreift. Die Entdeckung dieser hochentwickelten Schadsoftware verdeutlicht die wachsende Bedrohung für vernetzte Geräte im Internet der Dinge.
Zielgerichtete Angriffsstrategie und SSH-Kompromittierung
Im Gegensatz zu herkömmlichen Botnetzen verfolgt PumaBot einen präzisen Angriffsansatz. Die Malware erhält spezifische IP-Adressen von ihrer Command-and-Control-Infrastruktur (C2) über die Domain ssh.ddos-cc[.]org und führt anschließend Brute-Force-Attacken auf Port 22 (SSH) der ausgewählten Ziele durch. Besonders bemerkenswert ist die gezielte Suche nach dem String „Pumatronix“ auf kompromittierten Systemen, was auf eine spezifische Kampagne gegen Überwachungskameras und Verkehrsüberwachungssysteme dieses Herstellers hindeutet.
Fortgeschrittene Persistenzmechanismen
Nach erfolgreicher Infiltration implementiert PumaBot eine mehrstufige Strategie zur dauerhaften Systemkompromittierung. Die Malware tarnt ihre Hauptausführungsdatei als legitime Redis-Komponente im Verzeichnis /lib/redis und richtet getarnte Systemdienste unter Namen wie redis.service oder mysqI.service ein. Zur Erkennung von Honeypots führt die Schadsoftware zunächst eine Umgebungsanalyse mittels uname -a durch.
Komplexe Schadensroutinen und Datenexfiltration
Die Analyse offenbarte mehrere gefährliche Komponenten:
– Selbstaktualisierungsmechanismen zur kontinuierlichen Weiterentwicklung
– PAM-Rootkits zur Manipulation von pam_unix.so
– Spezialisierte Credential-Harvesting-Dienste
– Kryptowährungs-Mining-Module (xmrig und networkxm)
Innovative Techniken zur Credential-Extraktion
Ein besonders ausgefeilter Aspekt ist der modifizierte PAM-Modul, der sowohl lokale als auch Remote-SSH-Zugangsdaten in einer con.txt-Datei protokolliert. Ein dedizierter Daemon übermittelt diese sensiblen Daten an den C2-Server und beseitigt anschließend alle Spuren der Kompromittierung.
Obwohl der C2-Server während der Untersuchung nicht erreichbar war und damit die vollständigen Ziele des Botnets im Dunkeln blieben, deutet die Integration von Crypto-Mining-Komponenten auf eine mögliche finanzielle Motivation der Angreifer hin. Sicherheitsexperten empfehlen dringend die Implementierung starker SSH-Authentifizierung, regelmäßige Systemüberwachung und den Einsatz moderner Intrusion-Detection-Systeme. Besonders Betreiber von IoT-Infrastrukturen sollten ihre Sicherheitsmaßnahmen umgehend überprüfen und verstärken.
