Обнаружена новая вредоносная программа PumaBot, нацеленная на Linux и IoT-устройства

CyberSecureFox 🦊

Специалисты по кибербезопасности компании Darktrace выявили новую вредоносную программу PumaBot, написанную на языке Go. Этот малварь представляет серьезную угрозу для устройств под управлением Linux, особенно в сегменте интернета вещей (IoT), используя целенаправленные атаки для компрометации систем через SSH-доступ.

Механизм работы и особенности атаки

В отличие от традиционных ботнетов, PumaBot использует целевой подход к выбору жертв. Вредоносная программа получает специальные списки IP-адресов от командного центра (C2) через домен ssh.ddos-cc[.]org, после чего осуществляет брутфорс-атаки на SSH-порт (22) выбранных целей. Особый интерес представляет поиск строки «Pumatronix» в системах-жертвах, что указывает на возможную таргетированную кампанию против устройств видеонаблюдения и дорожных камер этого производителя.

Техники закрепления в системе

После успешного проникновения PumaBot реализует многоступенчатый процесс закрепления в системе. Вредонос проверяет окружение командой uname -a для выявления ханипотов, затем маскирует свой основной исполняемый файл под легитимный компонент Redis в директории /lib/redis. Для обеспечения персистентности создается systemd-служба под видом redis.service или mysqI.service.

Дополнительные вредоносные компоненты

Исследователи обнаружили несколько опасных модулей в составе PumaBot:
— Самообновляющиеся скрипты для поддержания актуальности вредоноса
— PAM-руткиты, подменяющие системный файл pam_unix.so
— Специальные демоны для кражи учетных данных
— Майнеры криптовалюты (xmrig и networkxm)

Механизмы кражи данных

Особую опасность представляет модифицированный PAM-модуль, который собирает локальные и удаленные SSH-креденциалы, сохраняя их в файл con.txt. Затем специальный демон передает похищенные данные на командный сервер, после чего удаляет все следы своей активности с зараженного устройства.

Несмотря на то, что во время исследования командный сервер был недоступен, что затруднило определение конечных целей ботнета, наличие криптомайнеров в арсенале PumaBot указывает на возможное использование скомпрометированных устройств для нелегального майнинга. Эксперты рекомендуют администраторам систем усилить защиту SSH-доступа, регулярно проверять системные процессы и использовать современные средства обнаружения вторжений для защиты от подобных угроз.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.