Фахівці з кібербезпеки компанії Darktrace виявили нове загрозливе програмне забезпечення PumaBot, розроблене мовою програмування Go. Цей шкідливий код становить серйозну небезпеку для Linux-систем, особливо в сегменті інтернету речей (IoT), використовуючи витончені методи компрометації через SSH-протокол.
Особливості цільових атак PumaBot
На відміну від класичних ботнетів, PumaBot застосовує високоточний підхід до вибору цілей. Шкідливе ПЗ отримує спеціально підготовлені списки IP-адрес через командний центр за доменом ssh.ddos-cc[.]org, після чого здійснює автоматизований підбір облікових даних для SSH-доступу. Особливу увагу привертає цілеспрямований пошук рядка “Pumatronix” у системах жертв, що вказує на можливу таргетовану кампанію проти обладнання відеоспостереження цього виробника.
Методи персистентності та маскування
Після успішного проникнення малвер реалізує комплексну стратегію закріплення в системі. PumaBot спочатку перевіряє середовище виконання командою uname -a для виявлення пасток-приманок, після чого маскує свій виконуваний файл під легітимний процес Redis у директорії /lib/redis. Для забезпечення автозапуску створюється системна служба під виглядом redis.service або mysqI.service.
Функціональність та шкідливі модулі
Аналіз PumaBot виявив наявність декількох небезпечних компонентів:
– Модулі автоматичного оновлення для підтримки актуальності загрози
– Руткіти для підміни системного файлу pam_unix.so
– Спеціалізовані процеси для викрадення облікових даних
– Криптомайнери xmrig та networkxm для прихованого майнінгу
Механізми ексфільтрації даних
Критичну загрозу становить модифікований PAM-модуль, який перехоплює локальні та віддалені SSH-креденціали, зберігаючи їх у файлі con.txt. Спеціальний демон періодично передає викрадену інформацію на командний сервер, після чого ретельно видаляє сліди своєї активності.
Хоча під час дослідження командний сервер був недоступний, що ускладнило визначення кінцевих цілей зловмисників, наявність криптомайнерів свідчить про ймовірне використання скомпрометованих пристроїв для нелегального майнінгу. Фахівці з кібербезпеки наполегливо рекомендують посилити захист SSH-доступу, впровадити багатофакторну автентифікацію, регулярно моніторити системні процеси та використовувати сучасні системи виявлення вторгнень для захисту від подібних загроз.