Uç nokta güvenliği, Nesnelerin İnterneti Güvenliği
Gizli kötü amaçlı yazılım kriptominasyon yazılımı yükler
Prajeet Nair (@prajeaetspeaks) •
28 Mayıs 2025
Linux işletim sisteminde çalışan Nesnelerin İnterneti cihazlarını hedefleyen bir botnet, kaba zorlama kimlik bilgileri ve kriptominasyon yazılımını indirerek çalışır.
Ayrıca bakınız: Gartner Raporu | SD-WAN için Sihirli Çeyrek
Darktrace araştırmacıları, kötü amaçlı yazılım “Pumatronix” dizisini kontrol ettiği için “Pumabot” botnetini vaftiz etti. Brezilyalı bir gözetim ve trafik kamera sistemleri üreticisinin adı, “potansiyel IoT hedeflemesini veya belirli cihazlardan kaçınma çabasını öneriyor.” Bot ayrıca balkospotlardan veya kısıtlı kabuklardan kaçınmak için çevreyi parmak izler.
Alışılmadık bir şekilde bir botnet için, kötü amaçlı yazılım, fırsatçı hedefler için interneti taramıyor. Aksine, SSH bağlantı noktalarına sahip olan cihazların IP adreslerinin bir listesini sunan bir komut ve kontrol sunucusuna bağlanır. Sunucu ile ilişkili etki alanı, ssh.ddos-cc.orgDarktrace analizi sırasında bir internet adresine karar vermedi.
Önemli bir kötü niyetli kullanım, kripto para madenciliği için tehlikeye atılmış cihazları ele geçirmektir. Enfekte sistemlerde kriptominasyon yazılımı çalıştırarak, BOTNET cihazın işleme gücünü ve enerji kaynaklarını boşaltır. Analistler, Pumabot’un akıllı şehirde veya endüstriyel gözetim ağlarında gizli, uzun vadeli bir dayanak oluşturmak için daha büyük bir kampanyanın parçası olabileceğine inanıyor.
Pumabot öncelikle bir gelenek yazarak gizli sızma ve uzun süreli kontrole odaklanır. systemmd service unitSistem Hizmetleri ve Dinleme Yuvaları hakkında bilgileri kapsayan bir yapılandırma dosyası. Ayrıca kendi SSH anahtarlarını ekler. authorized_keys dosya, birisi haydutu silmeli bile kalıcılığın sağlanması systemmd service unit dosya.
Kötü amaçlı yazılım kendini gizli bir dizine yükler /lib/redis ve gibi aldatıcı Systemd hizmetleri yaratır redis.service Ve mysqI.service.
Kötü amaçlı yazılım, olağandışı bir X-Api key de dahil olmak üzere özel HTTP başlıkları kullanarak C2 ile iletişim kurar, jieruidashabi. Mimarlık, çekirdek sürümü ve kullanıcı kimlik bilgileri dahil olmak üzere sistem parmak izlerini geri gönderir. Veriler, operatörlerin enfekte olmuş altyapının gerçek zamanlı bir haritasını korumasına ve gerektiğinde özel yükleri dağıtmasına yardımcı olur.
Darktrace ayrıca, daha geniş Pumabot kampanyasının bir parçası olarak ilgili ikili dosyaları gözlemledi; ddaemon ve denilen bir bileşen networkxm Bu, MD5 karma kontrolleri aracılığıyla SSH kaba zorlama ve kendi kendine günceller gerçekleştirir.
Başka bir anahtar parça installx.sh Linux Tupable Kimlik Doğrulama Modülleri Kimlik Doğrulama Yığınını kötü niyetli bir şekilde değiştiren Bash Script pam_unix.so Yerel ve uzak oturum açmalarında kimlik bilgilerini hasat etmek için dosya.
Verileri yaymak için, “1” adlı bir dosya izleyicisi ikili, gizli bir dosyada depolanan çalıntı kimlik bilgilerini monitörler con.txtsonra bunları uzak bir sunucuya gönderir. Bu veriler SSH kimlik bilgilerini, sistem IP adreslerini ve bağlantı noktası tarama sonuçlarını içerir.
Araştırmacılar, “Geleneksel bir solucan gibi otomatik olarak yayılıyor gibi görünse de, solucan benzeri davranışları ve cihaz uzlaşmasına ve uzun vadeli erişime odaklanan yarı otomatik bir botnet kampanyası öneren kaba zorlama hedefleri sürdürüyor.” Dedi.