Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Ботнет PumaBot атакует Linux-девайсы и брутфорсит SSH

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 05-30-2025, 08:42 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Специалисты Darktrace обнаружили новую Go-малварь PumaBot. Вредонос нацелен на устройства под управлением Linux и брутфорсит учетные данные SSH на IoT-девайсах с целью развертывания дополнительных полезных нагрузок.



Вместо обширного сканирования интернета, PumaBot целенаправленно атакует определенные IP-адреса на основе списков, которые получает от своего управляющего сервера (ssh.ddos-cc[.]org). Получив список целевых IP, вредонос стремится выполнить брутфорс-атаку на порт 22 для доступа к SSH. Исследователи не сообщают, насколько велики списки целевых IP-адресов.



В ходе атаки PumaBot проверяет наличие строки «Pumatronix». По мнению исследователей, это может свидетельствовать о том, что целью атак являются системы видеонаблюдения и дорожные камеры одноименного производителя.



В случае успешного взлома малварь запускает команду uname -a, чтобы собрать информацию об окружении и убедиться, что целевое устройство не является ханипотом. Затем основной бинарник PumaBot (jierui) записывается в /lib/redis, стараясь замаскироваться под легитимный системный файл Redis. Для закрепления в системе и защиты от перезагрузок устанавливается служба systemd (redis.service или mysqI.service).



Наконец, малварь внедряет собственный SSH в файл authorized_keys, чтобы сохранить доступ даже в случае обнаружения атаки и поверхностной очистки системы.



После этого PumaBot может получать команды на извлечение данных, внедрение новых полезных нагрузок или кражу информации, полезной для бокового перемещения.



Среди дополнительных полезных нагрузок, обнаруженных исследователями, перечислены самообновляющиеся скрипты, PAM-руткиты, которые подменяют файл pam_unix.so, а также демоны (бинарный файл «1»).



Вредоносный PAM-модуль собирает локальные и удаленные учетные данные SSH и сохраняет их в текстовом файле (con.txt). Затем бинарник 1 передает этот файл на управляющий сервер. Причем после передачи данных текстовый файл удаляется с зараженного хоста, чтобы уничтожить все следы вредоносной активности.







Отмечается, что среди команд PumaBot присутствуют xmrig и networkxm, то есть скомпрометированные устройства могут использоваться для майнинга криптовалюты. Однако во время проведения анализа C2-сервер был недоступен, и определить конечные цели этого ботнета экспертам не удалось.



@ xakep.ru
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 05:48 AM.

Contact Us - Carder.life - Archive - Top