Το PumaBot botnet αναγκάζει διαπιστευτήρια SSH να παραβιάζουν συσκευές
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το PumaBot botnet αναγκάζει διαπιστευτήρια SSH να παραβιάζουν συσκευές
https://www.secnews.gr/649607/pumabot-botnet-anagkazei-diapisteftiris-ssh-paraviazoun-siskeves/
May 29th 2025, 11:25
by Absenta Mia
Ένα νέο κακόβουλο λογισμικό τύπου botnet βασισμένο σε Go για Linux, με την ονομασία PumaBot, εντοπίστηκε πρόσφατα και χρησιμοποιείται για επιθέσεις τύπου brute-force σε διαπιστευτήρια SSH σε ενσωματωμένες συσκευές IoT, με σκοπό την εγκατάσταση κακόβουλων φορτίων.
Δείτε επίσης: Η λειτουργία του DanaBot Botnet διακόπηκε, βρέθηκαν 16 ύποπτοι
Ο στοχευμένος χαρακτήρας του PumaBot είναι εμφανής, καθώς αντί να σαρώνει ευρέως το διαδίκτυο, επιτίθεται σε συγκεκριμένες διευθύνσεις IP που λαμβάνει από έναν διακομιστή εντολών και ελέγχου (C2), και όχι μέσω γενικής σάρωσης. Η εταιρεία Darktrace κατέγραψε τη δραστηριότητα του PumaBot σε έκθεσή της, στην οποία παρουσιάζεται η ροή επίθεσης του botnet, οι δείκτες παραβίασης (IoCs) και οι κανόνες εντοπισμού. Το κακόβουλο λογισμικό λαμβάνει λίστα στοχευμένων IP από τον C2 διακομιστή του (ssh.ddos-cc.org) και προσπαθεί να πραγματοποιήσει επιθέσεις brute-force στη θύρα 22, που χρησιμοποιείται για πρόσβαση SSH.
Κατά τη διάρκεια αυτής της διαδικασίας, το PumaBot ελέγχει για την παρουσία της συμβολοσειράς "Pumatronix", την οποία η Darktrace εκτιμά ότι ίσως σχετίζεται με στοχευμένες επιθέσεις σε συστήματα επιτήρησης και κάμερες κυκλοφορίας που παρέχονται από τον συγκεκριμένο κατασκευαστή.
Αφού καθοριστούν οι στόχοι, το κακόβουλο λογισμικό λαμβάνει διαπιστευτήρια τα οποία δοκιμάζει πάνω σε αυτούς. Εάν η σύνδεση είναι επιτυχής, εκτελεί την εντολή uname -a για να συλλέξει πληροφορίες σχετικά με το περιβάλλον και να επιβεβαιώσει ότι η συσκευή δεν είναι honeypot (παγίδα ανάλυσης κακόβουλου λογισμικού).
Στη συνέχεια, γράφει το κύριο εκτελέσιμο αρχείο του (με την ονομασία jierui) στον κατάλογο /lib/redis και εγκαθιστά μία υπηρεσία systemd με την ονομασία redis.service, εξασφαλίζοντας την παραμονή του ακόμα και μετά από επανεκκίνηση της συσκευής. Τέλος, εισάγει το δικό του δημόσιο κλειδί SSH στο αρχείο authorized_keys, ώστε να διατηρεί πρόσβαση ακόμα και αν αφαιρεθεί το αρχικό κακόβουλο φορτίο κατά τον καθαρισμό του συστήματος.
Όταν η μόλυνση παραμένει ενεργή, το PumaBot botnet μπορεί να λάβει εντολές για εξαγωγή δεδομένων, εισαγωγή νέων φορτίων ή κλοπή πληροφοριών που μπορούν να χρησιμοποιηθούν για πλευρική κίνηση εντός του δικτύου.
Δείτε ακόμα: ΗΠΑ: Κατηγορίες κατά του δημιουργού του Qakbot botnet
Παραδείγματα κακόβουλων φορτίων που έχει εντοπίσει η Darktrace περιλαμβάνουν:
• αυτοενημερούμενα scripts,
• rootkits PAM που αντικαθιστούν το νόμιμο αρχείο pam_unix.so,
• και κακόβουλες υπηρεσίες (όπως το δυαδικό αρχείο με όνομα "1").
Το κακόβουλο PAM module συλλέγει τοπικά και απομακρυσμένα στοιχεία σύνδεσης SSH και τα αποθηκεύει σε ένα αρχείο κειμένου με όνομα con.txt. Το δυαδικό αρχείο "watcher" (1) παρακολουθεί διαρκώς για την ύπαρξη του αρχείου αυτού και στη συνέχεια το αποστέλλει στον C2 διακομιστή. Μετά την εξαγωγή των δεδομένων, το αρχείο κειμένου διαγράφεται από τον μολυσμένο υπολογιστή, ώστε να εξαλειφθούν τυχόν ίχνη της κακόβουλης δραστηριότητας.
Το μέγεθος και η επιτυχία του PumaBot botnet παραμένουν άγνωστα προς το παρόν και η Darktrace δεν αποκαλύπτει την έκταση των λιστών με τις στοχευμένες IP διευθύνσεις.
Το συγκεκριμένο botnet ξεχωρίζει επειδή εκτελεί στοχευμένες επιθέσεις, που θα μπορούσαν να αποτελέσουν πύλη για βαθύτερη διείσδυση σε εταιρικά δίκτυα, σε αντίθεση με άλλα κακόβουλα λογισμικά που χρησιμοποιούν τις μολυσμένες IoT συσκευές για απλούστερες μορφές κυβερνοεγκλήματος, όπως επιθέσεις άρνησης υπηρεσίας (DoS) ή ως μεσολαβητές για δικτυακή κάλυψη.
Για προστασία από απειλές τύπου botnet, συνιστάται:
• να γίνεται αναβάθμιση των IoT συσκευών στην πιο πρόσφατη διαθέσιμη έκδοση λογισμικού,
• να αλλάζονται τα προεπιλεγμένα διαπιστευτήρια πρόσβασης,
• να τοποθετούνται πίσω από firewalls,
• και να απομονώνονται σε ξεχωριστά δίκτυα, μακριά από κρίσιμα ή ευαίσθητα συστήματα.
Δείτε επίσης: Το νέο HTTPBot Botnet στοχεύει μηχανήματα Windows
Βάσει των παραπάνω, γίνεται ξεκάθαρο ότι το PumaBot botnet δεν είναι απλώς ένα ακόμα botnet που αξιοποιεί ευάλωτες IoT συσκευές για τυπικές κακόβουλες δραστηριότητες, αλλά αποτελεί ένα πιο εξελιγμένο και στοχευμένο εργαλείο εισβολής. Το γεγονός ότι δεν πραγματοποιεί μαζικές σαρώσεις, αλλά στοχεύει συγκεκριμένες IP από λίστες που λαμβάνει από C2 διακομιστή, δείχνει ότι οι επιθέσεις είναι προσεκτικά σχεδιασμένες και πιθανώς κατευθυνόμενες προς συγκεκριμένους οργανισμούς ή υποδομές.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το PumaBot botnet αναγκάζει διαπιστευτήρια SSH να παραβιάζουν συσκευές
https://www.secnews.gr/649607/pumabot-botnet-anagkazei-diapisteftiris-ssh-paraviazoun-siskeves/
May 29th 2025, 11:25
by Absenta Mia
Ένα νέο κακόβουλο λογισμικό τύπου botnet βασισμένο σε Go για Linux, με την ονομασία PumaBot, εντοπίστηκε πρόσφατα και χρησιμοποιείται για επιθέσεις τύπου brute-force σε διαπιστευτήρια SSH σε ενσωματωμένες συσκευές IoT, με σκοπό την εγκατάσταση κακόβουλων φορτίων.
Δείτε επίσης: Η λειτουργία του DanaBot Botnet διακόπηκε, βρέθηκαν 16 ύποπτοι
Ο στοχευμένος χαρακτήρας του PumaBot είναι εμφανής, καθώς αντί να σαρώνει ευρέως το διαδίκτυο, επιτίθεται σε συγκεκριμένες διευθύνσεις IP που λαμβάνει από έναν διακομιστή εντολών και ελέγχου (C2), και όχι μέσω γενικής σάρωσης. Η εταιρεία Darktrace κατέγραψε τη δραστηριότητα του PumaBot σε έκθεσή της, στην οποία παρουσιάζεται η ροή επίθεσης του botnet, οι δείκτες παραβίασης (IoCs) και οι κανόνες εντοπισμού. Το κακόβουλο λογισμικό λαμβάνει λίστα στοχευμένων IP από τον C2 διακομιστή του (ssh.ddos-cc.org) και προσπαθεί να πραγματοποιήσει επιθέσεις brute-force στη θύρα 22, που χρησιμοποιείται για πρόσβαση SSH.
Κατά τη διάρκεια αυτής της διαδικασίας, το PumaBot ελέγχει για την παρουσία της συμβολοσειράς "Pumatronix", την οποία η Darktrace εκτιμά ότι ίσως σχετίζεται με στοχευμένες επιθέσεις σε συστήματα επιτήρησης και κάμερες κυκλοφορίας που παρέχονται από τον συγκεκριμένο κατασκευαστή.
Αφού καθοριστούν οι στόχοι, το κακόβουλο λογισμικό λαμβάνει διαπιστευτήρια τα οποία δοκιμάζει πάνω σε αυτούς. Εάν η σύνδεση είναι επιτυχής, εκτελεί την εντολή uname -a για να συλλέξει πληροφορίες σχετικά με το περιβάλλον και να επιβεβαιώσει ότι η συσκευή δεν είναι honeypot (παγίδα ανάλυσης κακόβουλου λογισμικού).
Στη συνέχεια, γράφει το κύριο εκτελέσιμο αρχείο του (με την ονομασία jierui) στον κατάλογο /lib/redis και εγκαθιστά μία υπηρεσία systemd με την ονομασία redis.service, εξασφαλίζοντας την παραμονή του ακόμα και μετά από επανεκκίνηση της συσκευής. Τέλος, εισάγει το δικό του δημόσιο κλειδί SSH στο αρχείο authorized_keys, ώστε να διατηρεί πρόσβαση ακόμα και αν αφαιρεθεί το αρχικό κακόβουλο φορτίο κατά τον καθαρισμό του συστήματος.
Όταν η μόλυνση παραμένει ενεργή, το PumaBot botnet μπορεί να λάβει εντολές για εξαγωγή δεδομένων, εισαγωγή νέων φορτίων ή κλοπή πληροφοριών που μπορούν να χρησιμοποιηθούν για πλευρική κίνηση εντός του δικτύου.
Δείτε ακόμα: ΗΠΑ: Κατηγορίες κατά του δημιουργού του Qakbot botnet
Παραδείγματα κακόβουλων φορτίων που έχει εντοπίσει η Darktrace περιλαμβάνουν:
• αυτοενημερούμενα scripts,
• rootkits PAM που αντικαθιστούν το νόμιμο αρχείο pam_unix.so,
• και κακόβουλες υπηρεσίες (όπως το δυαδικό αρχείο με όνομα "1").
Το κακόβουλο PAM module συλλέγει τοπικά και απομακρυσμένα στοιχεία σύνδεσης SSH και τα αποθηκεύει σε ένα αρχείο κειμένου με όνομα con.txt. Το δυαδικό αρχείο "watcher" (1) παρακολουθεί διαρκώς για την ύπαρξη του αρχείου αυτού και στη συνέχεια το αποστέλλει στον C2 διακομιστή. Μετά την εξαγωγή των δεδομένων, το αρχείο κειμένου διαγράφεται από τον μολυσμένο υπολογιστή, ώστε να εξαλειφθούν τυχόν ίχνη της κακόβουλης δραστηριότητας.
Το μέγεθος και η επιτυχία του PumaBot botnet παραμένουν άγνωστα προς το παρόν και η Darktrace δεν αποκαλύπτει την έκταση των λιστών με τις στοχευμένες IP διευθύνσεις.
Το συγκεκριμένο botnet ξεχωρίζει επειδή εκτελεί στοχευμένες επιθέσεις, που θα μπορούσαν να αποτελέσουν πύλη για βαθύτερη διείσδυση σε εταιρικά δίκτυα, σε αντίθεση με άλλα κακόβουλα λογισμικά που χρησιμοποιούν τις μολυσμένες IoT συσκευές για απλούστερες μορφές κυβερνοεγκλήματος, όπως επιθέσεις άρνησης υπηρεσίας (DoS) ή ως μεσολαβητές για δικτυακή κάλυψη.
Για προστασία από απειλές τύπου botnet, συνιστάται:
• να γίνεται αναβάθμιση των IoT συσκευών στην πιο πρόσφατη διαθέσιμη έκδοση λογισμικού,
• να αλλάζονται τα προεπιλεγμένα διαπιστευτήρια πρόσβασης,
• να τοποθετούνται πίσω από firewalls,
• και να απομονώνονται σε ξεχωριστά δίκτυα, μακριά από κρίσιμα ή ευαίσθητα συστήματα.
Δείτε επίσης: Το νέο HTTPBot Botnet στοχεύει μηχανήματα Windows
Βάσει των παραπάνω, γίνεται ξεκάθαρο ότι το PumaBot botnet δεν είναι απλώς ένα ακόμα botnet που αξιοποιεί ευάλωτες IoT συσκευές για τυπικές κακόβουλες δραστηριότητες, αλλά αποτελεί ένα πιο εξελιγμένο και στοχευμένο εργαλείο εισβολής. Το γεγονός ότι δεν πραγματοποιεί μαζικές σαρώσεις, αλλά στοχεύει συγκεκριμένες IP από λίστες που λαμβάνει από C2 διακομιστή, δείχνει ότι οι επιθέσεις είναι προσεκτικά σχεδιασμένες και πιθανώς κατευθυνόμενες προς συγκεκριμένους οργανισμούς ή υποδομές.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz