IoT eszközök a PumaBot célkeresztjében
A Darktrace kutatói azonosítottak egy „PumaBot” nevű, Go alapú Linux botnetet, amely beágyazott Linuxos IoT eszközöket céloz meg. A kártevő az internet szkennelése helyett a célpontok listáját egy C2 kiszolgálóról szerzi le, és megpróbálja feltörni az SSH hitelesítő adatokat brute force-al. Az eszközök kompromittálása után a kártevő távoli parancsokat kap, és a rendszer service fájljait használja a perzisztencia megteremtéséhez.
Amikor a kártevő először lekérdezi az IP-címek listáját a C2-kiszolgálóról, kiválasztja azokat az eszközöket, amelyeken valószínűleg nyitott SSH-portok vannak. Ezután a C2 szerverről származó hitelesítő adatokkal brute force tevékenységet végez a 22-es porton.
A trySSHLogin()-on belül a kártevő több környezeti fingerprint ellenőrzést végez, annak érdekében, hogy elkerülje a honeypotokat és a nem megfelelő végrehajtási környezeteket. A PumaBot malware emellett ellenőrzi a Pumatronix jelenlétét is, amely felügyeleti és közlekedési kamerarendszereket gyárt. A kutatók szerint ez arra utal, hogy a malware vagy igyekszik kikerülni bizonyos eszközöket, vagy potenciálisan IoT-eszközöket céloz meg. Miután a malware befejezte a környezet ellenőrzését, lefuttatja az „uname -a” parancsot, hogy információkat gyűjtsön, például az áldozat IP-címét, portját, felhasználónevét, operációs rendszer nevét, kernel verzióját és architektúráját, majd az eredményeket JSON payloadban küldi vissza a C2-nek.
A malware ezután a „/lib/redis” fájlba írja magát, hogy legitim Redis rendszerfájlnak adja ki magát. A kutatók azt is felfedezték, hogy a PumaBot saját SSH-kulcsokat ad hozzá a felhasználók engedélyezett kulcsfájljaihoz, hogy a szolgáltatás eltávolítása esetén is fenn tudja tartani a hozzáférést. A kutatók azonosítottak kapcsolódó binárisokat is, amelyek úgy tűnik, hogy egy szélesebb, Linux rendszereket célzó kampány részei.
A fenyegetés mérséklése érdekében javasolt monitorozni az SSH bejelentkezési anomáliákat, például a nagyszámú sikertelen bejelentkezési kísérleteket, ellenőrizni a Linux-eszközök systemd-szolgáltatásait, a felhasználói fiókokon belüli engedélyezett kulcsokat ismeretlen SSH-kulcsok után, valamint szűrni vagy riasztást beállítani a nem szabványos fejléceket tartalmazó kimenő HTTP-kérésekre, amelyek adatszivárgásra és rosszindulatú C2-erőforrásokkal való kommunikációra utalhatnak.
