Эксперты компании Darktrace
Ссылка скрыта от гостей
новый ботнет, получивший название PumaBot. Он написан на языке Go и ориентирован на атаки на устройства с операционной системой Linux, преимущественно в сегменте IoT. Основные цели вредоносной кампании — кража SSH-учетных данных и скрытый майнинг криптовалют.В отличие от многих аналогов, PumaBot не использует массовое сканирование интернета. Вместо этого он получает список целевых IP-адресов с командного сервера (C2)
ssh.ddos-cc[.]org и выполняет подбор паролей исключительно по ним. Особенность поведения ботнета — проверка строки «Pumatronix» в системной информации, что может указывать на прицельную атаку на системы видеонаблюдения и транспортные камеры.После успешного взлома PumaBot запускает команду
uname -a для оценки окружения и определения, не является ли система ловушкой (honeypot). Далее вредонос записывает свой исполняемый файл в директорию /lib/redis и регистрирует службу systemd под именем redis.service, обеспечивая автозапуск при перезагрузке.Для устойчивого доступа ботнет встраивает свой публичный ключ в файл
authorized_keys, что позволяет сохранить контроль над системой даже после попытки очистки.Если заражение продолжается, ботнет способен выполнять команды на загрузку дополнительных вредоносных компонентов, извлечение данных и последующее распространение в инфраструктуре жертвы. Среди обнаруженных нагрузок — руткиты PAM, заменяющие системный модуль
pam_unix.so, а также специальные демоны, непрерывно мониторящие файлы с украденными логинами и отправляющие их на сервер злоумышленников.Также был выявлен инструмент
networkxm, используемый ботнетом для дальнейших SSH-взломов по спискам паролей с того же C2-сервера.На данный момент масштаб атак и количество целевых адресов оценить затруднительно. Тем не менее, исследователи подчеркивают, что PumaBot представляет собой устойчивую и целенаправленную угрозу, сочетающую элементы сетевого червя и продвинутого бэкдора, ориентированного на автоматизацию взлома и закрепление в скомпрометированных Linux-системах.
