Устройства Интернета вещей на базе Embedded Linux попали под прицел нового ботнета под названием PumaBot.
PumaBot
Написанный на языке Go, этот ботнет специально разработан для перебора SSH-логинов с целью расширения собственной сети и внедрения дополнительного вредоносного ПО в заражённые устройства.
«Вместо массового сканирования интернета, вредонос получает список целей с сервера управления (C2) и пытается взломать SSH-учётные записи методом перебора», — сообщили аналитики Darktrace. «После проникновения ботнет исполняет удалённые команды и внедряется в систему через сервисные файлы.»
Для первоначального проникновения вредонос скачивает список IP с открытыми портами с внешнего сервера «ssh.ddos-cc[.]org» и перебирает SSH-учётные данные.
Во время атаки бот также проверяет, не является ли система ловушкой (honeypot). Он ищет строку «Pumatronix» — производителя камер видеонаблюдения, вероятно, чтобы либо выделить такие устройства, либо исключить их из атаки.
После успешного взлома бот собирает основную информацию об устройстве и отправляет её на сервер C2, затем устанавливает скрытое присутствие и приступает к выполнению команд оператора.
«Вредонос сохраняет себя в /lib/redis, маскируясь под легитимный файл Redis», — пояснили в Darktrace. «Затем создаётся постоянный systemd-сервис в /etc/systemd/system с названиями redis.service или mysqI.service (обратите внимание на заглавную букву "I" вместо латинской "l"), в соответствии с конфигурацией в коде.»
Этот приём позволяет ботнету выглядеть как обычный системный процесс и сохранять работу после перезагрузки. Среди выполняемых команд — xmrig и networkxm, что ясно указывает на использование заражённых устройств для скрытого майнинга криптовалюты.
Однако команды запускаются без указания полного пути, что говорит о загрузке или распаковке необходимых файлов в других частях заражённого устройства. В ходе расследования кампании эксперты обнаружили дополнительные вредоносные компоненты — часть более крупной централизованной атаки:
- ddaemon — бэкдор на Go, который скачивает бинарник networkxm в /usr/src/bao/networkxm и запускает скрипт installx.sh;
- networkxm — инструмент для перебора SSH-паролей, работающий как на первом этапе заражения, получающий списки паролей с C2-сервера и пытающийся подключиться по SSH к множеству адресов;
- installx.sh — скачивает скрипт jc.sh с адреса 1.lusyn[.]xyz, даёт ему права на чтение, запись и выполнение для всех пользователей, запускает его и очищает историю bash;
- jc.sh — отвечает за загрузку вредоносного модуля pam_unix.so с удалённого сервера, который подменяет оригинальный системный файл, и скачивает ещё один бинарник под названием «1»;
- pam_unix.so — руткит, который крадёт учётные данные, перехватывая успешные входы в систему и записывая их в файл /usr/bin/con.txt;
- «1» — следит за появлением файла con.txt в /usr/bin/ и отправляет украденные данные обратно на сервер управления.
Поскольку ботнет распространяется через перебор SSH-учётных записей, как сетевой червь, настоятельно советую внимательно следить за подозрительной активностью в SSH-логах, особенно за повторяющимися неудачными попытками входа. Также важно регулярно проверять сервисы systemd, внимательно анализировать файлы authorized_keys на наличие неизвестных ключей, жёстко настраивать фаервол для ограничения доступа и фильтровать HTTP-запросы с подозрительными заголовками, например X-API-KEY: jieruidashabi.
«Этот ботнет — долговременная угроза на базе Go, которая с помощью автоматизации, перебора паролей и стандартных Linux-инструментов получает и удерживает контроль над заражёнными машинами», — подчеркнули специалисты Darktrace.
«Маскируясь под легитимные бинарники вроде Redis, используя systemd для закрепления и реализуя функции отпечатков, чтобы обходить песочницы и ограниченные среды, ботнет демонстрирует высокий уровень скрытности и продуманности.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru