Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ PumaBot: новая угроза для Linux IoT-устройств

3 мин
Эксперты в области кибербезопасности выявили новую вредоносную ботнет-сеть PumaBot, ориентированную на устройства Интернета вещей (IoT) под управлением Linux. Особенностью PumaBot является продуманная архитектура, позволяющая успешно заражать системы, обеспечивать устойчивость вредоносного ПО и эффективно использовать вычислительные ресурсы для майнинга криптовалюты. Данный ботнет представляет серьезную угрозу для корпоративных и домашних сетей, что требует повышенного внимания со стороны специалистов по безопасности. PumaBot начинает свою работу с получения списков целевых устройств с сервера управления (C2). Заражение происходит посредством перебора учетных данных SSH, преимущественно для устройств с открытыми SSH-портами. После успешного взлома платформа устанавливает свой двоичный файл в директорию /lib/redis, маскируясь под легитимную службу Redis. Для обеспечения постоянного присутствия в системе ботнет создает служебные файлы systemd с обманчивыми именами: redis.service и mysqI.
Оглавление
Источник: blog.polyswarm.io
Источник: blog.polyswarm.io

Эксперты в области кибербезопасности выявили новую вредоносную ботнет-сеть PumaBot, ориентированную на устройства Интернета вещей (IoT) под управлением Linux. Особенностью PumaBot является продуманная архитектура, позволяющая успешно заражать системы, обеспечивать устойчивость вредоносного ПО и эффективно использовать вычислительные ресурсы для майнинга криптовалюты. Данный ботнет представляет серьезную угрозу для корпоративных и домашних сетей, что требует повышенного внимания со стороны специалистов по безопасности.

Механизм заражения и маскировка

PumaBot начинает свою работу с получения списков целевых устройств с сервера управления (C2). Заражение происходит посредством перебора учетных данных SSH, преимущественно для устройств с открытыми SSH-портами. После успешного взлома платформа устанавливает свой двоичный файл в директорию /lib/redis, маскируясь под легитимную службу Redis.

Для обеспечения постоянного присутствия в системе ботнет создает служебные файлы systemd с обманчивыми именами: redis.service и mysqI.service (обратите внимание на хитрую подмену буквы «l» на заглавную «I» в имени, имитирующем MySQL). Это позволяет вредоносному ПО сохраняться после перезагрузки и сливаться с легитимными процессами на устройстве.

Сбор информации и передача данных

После установки PumaBot собирает конфиденциальные системные сведения, включая:

  • название операционной системы;
  • версию ядра Linux;
  • архитектуру процессора;
  • данные о сетевых подключениях, IP-адреса;
  • имена пользователей и пароли, полученные в ходе атаки.

Эти данные упаковываются в формат JSON и отправляются обратно на сервер C2 с помощью пользовательского HTTP-заголовка, что затрудняет обнаружение и фильтрацию вредоносного трафика.

Функциональность и особенности работы PumaBot

Главной задачей ботнета является выполнение команд для запуска процессов майнинга криптовалюты, таких как xmrig и networkxm. Отсутствие указания полных путей к исполняемым файлам позволяет загружать и запускать дополнительные полезные нагрузки, расширяя функционал и повышая эффективность майнинга.

Особое внимание стоит уделить механизмам обхода систем обнаружения и анализа. PumaBot использует методы снятия отпечатков (fingerprinting), идентифицируя среду, в которой работает. Например, он ищет наличие строки "Pumatronix" — индикатора систем видеонаблюдения, чтобы либо исключить их из заражения, либо более тонко нацелиться на IoT-устройства. Это указывает на _целенаправленность_ кампании и избирательную стратегию атак.

Структура и компоненты вредоносного ПО

Дополнительный анализ выявил связанные элементы вредоносного комплекса:

  • ddaemon — бэкдор, который отвечает за извлечение и запуск интеллектуального аналитического компонента networkxm;
  • installx.sh — скрипт для загрузки дополнительной полезной нагрузки и очистки истории bash, что помогает избежать обнаружения действия злоумышленников.

Все эти компоненты взаимодействуют синергетически, обеспечивая масштабирование атаки, устойчивость и эффективное распространение вредоносного ПО.

Выводы и рекомендации

PumaBot представляет собой новую волну хакерской активности, способную нанести значительный ущерб сетям компаний и пользователей. Его особенности — избирательность целей, маскировка под системные службы и устойчивость к детектированию — делают угрозу особенно опасной.

Специалисты по безопасности рекомендуют:

  • обеспечить надежную защиту SSH-доступов: использовать сложные пароли и двухфакторную аутентификацию;
  • регулярно мониторить системные службы и проверять наличие аномалий в системных файлах и сервисах;
  • применять современные инструменты обнаружения инцидентов, способные выявлять пользовательские HTTP-заголовки и подозрительный сетевой трафик;
  • быть внимательными к устройствам IoT и минимизировать их доступ в критичные сегменты сети.

_PumaBot_ – это напоминание о том, что эволюция вредоносных технологий требует постоянного совершенствования методов защиты и обучения пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ PumaBot: новая угроза для Linux IoT-устройств".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.