Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Ботнет PumaBot атакует Linux-девайсы и брутфорсит SSH (http://txgate.io:443/showthread.php?t=51300713)

Artifact 05-30-2025 08:42 PM
<div id="post_message_794526">

Специалисты Darktrace обнаружили новую Go-малварь <a href="https://www.darktrace.com/blog/pumabot-novel-botnet-targeting-iot-surveillance-devices" target="_blank">PumaBot</a>. Вредонос нацелен на устройства под управлением Linux и брутфорсит учетные данные SSH на IoT-девайсах с целью развертывания дополнительных полезных нагрузок.<br/>
<br/>
Вместо обширного сканирования интернета, PumaBot целенаправленно атакует определенные IP-адреса на основе списков, которые получает от своего управляющего сервера (ssh.ddos-cc[.]org). Получив список целевых IP, вредонос стремится выполнить брутфорс-атаку на порт 22 для доступа к SSH. Исследователи не сообщают, насколько велики списки целевых IP-адресов.<br/>
<br/>
В ходе атаки PumaBot проверяет наличие строки «Pumatronix». По мнению исследователей, это может свидетельствовать о том, что целью атак являются системы видеонаблюдения и дорожные камеры одноименного производителя.<br/>
<br/>
В случае успешного взлома малварь запускает команду uname -a, чтобы собрать информацию об окружении и убедиться, что целевое устройство не является ханипотом. Затем основной бинарник PumaBot (jierui) записывается в /lib/redis, стараясь замаскироваться под легитимный системный файл Redis. Для закрепления в системе и защиты от перезагрузок устанавливается служба systemd (redis.service или mysqI.service).<br/>
<br/>
Наконец, малварь внедряет собственный SSH в файл authorized_keys, чтобы сохранить доступ даже в случае обнаружения атаки и поверхностной очистки системы.<br/>
<br/>
После этого PumaBot может получать команды на извлечение данных, внедрение новых полезных нагрузок или кражу информации, полезной для бокового перемещения.<br/>
<br/>
Среди дополнительных полезных нагрузок, обнаруженных исследователями, перечислены самообновляющиеся скрипты, PAM-руткиты, которые подменяют файл pam_unix.so, а также демоны (бинарный файл «1»).<br/>
<br/>
Вредоносный PAM-модуль собирает локальные и удаленные учетные данные SSH и сохраняет их в текстовом файле (con.txt). Затем бинарник 1 передает этот файл на управляющий сервер. Причем после передачи данных текстовый файл удаляется с зараженного хоста, чтобы уничтожить все следы вредоносной активности.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/515210/credentials.jpg"/><br/>
<br/>
Отмечается, что среди команд PumaBot присутствуют xmrig и networkxm, то есть скомпрометированные устройства могут использоваться для майнинга криптовалюты. Однако во время проведения анализа C2-сервер был недоступен, и определить конечные цели этого ботнета экспертам не удалось.<br/>
<br/>
<a href="https://xakep.ru/2025/05/30/pumabot/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 04:37 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.