Специалисты по кибербезопасности компании Darktrace выявили новую вредоносную программу PumaBot, написанную на языке Go. Этот малварь представляет серьезную угрозу для устройств под управлением Linux, особенно в сегменте интернета вещей (IoT), используя целенаправленные атаки для компрометации систем через SSH-доступ.
Механизм работы и особенности атаки
В отличие от традиционных ботнетов, PumaBot использует целевой подход к выбору жертв. Вредоносная программа получает специальные списки IP-адресов от командного центра (C2) через домен ssh.ddos-cc[.]org, после чего осуществляет брутфорс-атаки на SSH-порт (22) выбранных целей. Особый интерес представляет поиск строки «Pumatronix» в системах-жертвах, что указывает на возможную таргетированную кампанию против устройств видеонаблюдения и дорожных камер этого производителя.
Техники закрепления в системе
После успешного проникновения PumaBot реализует многоступенчатый процесс закрепления в системе. Вредонос проверяет окружение командой uname -a для выявления ханипотов, затем маскирует свой основной исполняемый файл под легитимный компонент Redis в директории /lib/redis. Для обеспечения персистентности создается systemd-служба под видом redis.service или mysqI.service.
Дополнительные вредоносные компоненты
Исследователи обнаружили несколько опасных модулей в составе PumaBot:
— Самообновляющиеся скрипты для поддержания актуальности вредоноса
— PAM-руткиты, подменяющие системный файл pam_unix.so
— Специальные демоны для кражи учетных данных
— Майнеры криптовалюты (xmrig и networkxm)
Механизмы кражи данных
Особую опасность представляет модифицированный PAM-модуль, который собирает локальные и удаленные SSH-креденциалы, сохраняя их в файл con.txt. Затем специальный демон передает похищенные данные на командный сервер, после чего удаляет все следы своей активности с зараженного устройства.
Несмотря на то, что во время исследования командный сервер был недоступен, что затруднило определение конечных целей ботнета, наличие криптомайнеров в арсенале PumaBot указывает на возможное использование скомпрометированных устройств для нелегального майнинга. Эксперты рекомендуют администраторам систем усилить защиту SSH-доступа, регулярно проверять системные процессы и использовать современные средства обнаружения вторжений для защиты от подобных угроз.