Malware botnet Linux berbasis GO yang baru ditemukan bernama Pumabot adalah kredensial SSH yang memuat brute pada perangkat IoT tertanam untuk menggunakan muatan berbahaya.
Sifat target Pumabot juga terbukti oleh fakta bahwa ia menargetkan IP spesifik berdasarkan daftar yang ditarik dari server perintah-dan-kontrol (C2) alih-alih pemindaian yang lebih luas dari Internet.
Menargetkan kamera pengintai
Darktrace mendokumentasikan pumabot di Laporan Memberikan gambaran umum tentang aliran serangan botnet, indikator kompromi (IOC), dan aturan deteksi.
Malware menerima daftar IP target dari C2 (ssh.ddos-cc.org) dan berupaya melakukan upaya login brute-force pada port 22 untuk akses SSH terbuka.
Selama proses ini, ia memeriksa keberadaan string “pumatronix”, yang diyakini Darktrace dapat sesuai dengan penargetan sistem kamera pengintai dan lalu lintas oleh vendor.
Setelah target ditetapkan, malware menerima kredensial untuk menguji terhadap mereka.
Jika berhasil, ia menjalankan ‘uname -a’ untuk mendapatkan informasi lingkungan dan memverifikasi perangkat yang ditargetkan bukanlah honeypot.
Selanjutnya, ia menulis biner utamanya (Jierui) ke /lib /redis dan memasang layanan SystemD (Redis.service) untuk mengamankan persistensi di seluruh reboot perangkat.
Akhirnya, ia menyuntikkan SSH sendiri ke dalam file ‘otorisasi_keys’ untuk mempertahankan akses, bahkan dalam kasus pembersihan yang menghilangkan infeksi utama.
Di mana infeksi tetap aktif, Pumabot dapat menerima perintah untuk mencoba exfiltration data, memperkenalkan muatan baru, atau mencuri data yang berguna dalam gerakan lateral.
Contoh muatan yang dilihat oleh Darktrace termasuk skrip yang diperbarui sendiri, PAM rootkit yang menggantikan ‘Pam_Unix.SO’ yang sah, dan Daemon (File Biner “1”).
Modul PAM berbahaya memanen detail login SSH lokal dan jarak jauh dan menyimpannya dalam file teks (con.txt). Biner “Watcher” (1) terus -menerus mencari file teks itu dan kemudian mengeluarkannya ke C2.
Sumber: Darktrace
Setelah eksfiltrasi, file teks dihapus dari host yang terinfeksi untuk menghapus jejak aktivitas jahat.
Ukuran dan keberhasilan Pumabot saat ini tidak diketahui, dan Darktrace tidak menyebutkan seberapa luas daftar IP target.
Malware botnet baru ini menonjol untuk meluncurkan serangan bertarget yang dapat membuka jalan ke infiltrasi jaringan perusahaan yang lebih dalam alih-alih menggunakan IOT yang terinfeksi secara langsung untuk kejahatan dunia maya tingkat rendah, seperti serangan penolakan layanan (DOS) yang didistribusikan atau jaringan proksi.
Untuk mempertahankan dari ancaman botnet, tingkatkan IOT ke versi firmware terbaru yang tersedia, ubah kredensial default, letakkan di belakang firewall, dan jaga agar jaringan terpisah terisolasi dari sistem yang berharga.
