Siber güvenlik manzarasında yeni ve sinsi bir tehdit ortaya çıktı, Darktrace’in tehdit araştırma ekibi, gömülü Nesnelerin İnternet (IoT) cihazlarından yararlanmak için titizlikle tasarlanmış Go tabanlı bir Linux botnet olan Pumabot’u ortaya çıkarıyor.
Ayrıntısız İnternet taramaları yoluyla geniş bir ağ oluşturan geleneksel botnetlerin aksine, Pumabot, SSH kimlik bilgilerindeki kaba-kuvvet saldırıları başlatmak için bir komut ve kontrol (C2) sunucusundan küratörlü bir IP adres listesi getirerek yüksek hedefli bir strateji kullanır.
Bu odaklanmış yaklaşım sadece gizliliğini arttırmakla kalmaz, aynı zamanda geniş tarama faaliyetlerini işaretlemek için tasarlanmış güvenlik mekanizmaları tarafından tespit riskini en aza indirir.
.png
)
Sofistike bir Go tabanlı botnet ortaya çıkıyor
Pumabot, savunmasız bir cihaza erişim kazandıktan sonra, kötü amaçlı ikili olarak dağıtır, kalıcılık oluşturur ve kripto para madenciliğine birincil odaklanarak uzaktan komutlar yürütür.
Bu botnet, teminatsız IoT ekosistemleri, özellikle de Linux’u çalıştıranlar için önemli bir risk oluşturmaktadır ve gömülü sistemlerde sağlam güvenlik önlemlerine acil ihtiyacı vurgulamaktadır.
Pumabot’un enfeksiyon zinciri, gizli ve aldatmacada bir masterclass. Hedef listesini C2 sunucusundan aldıktan sonra, kötü amaçlı yazılım, açık bağlantı noktalarına sahip cihazlarda SSH kimlik bilgilerini sistematik olarak kabarık kuvvete yönlendirmeye çalışır.
Başarılı sızma üzerine, ikili bir Redis hizmeti olarak maskelenen /lib /redis gibi aldatıcı yerlere yazıyor.
Yeniden başlatmalarda kalıcılığı sağlamak için Pumabot, redis.service veya mysqi.service gibi yanıltıcı hizmet dosyaları oluşturarak Systemd hizmetlerini kötüye kullanır.
Yerli Linux araçlarının ve sistem yollarının bu akıllı kullanımı, geleneksel antivirüs ve uç nokta güvenlik çözümleri tarafından tespiti zorlaştırır.
Gelişmiş Kırılma Taktikleri
Ayrıca, Pumabot, işletim sistemi adı, çekirdek versiyonu ve mimarlık dahil kritik sistem verilerini gibi komutlar aracılığıyla toplar. uname -abu bilgileri kurbanın IP, bağlantı noktası, kullanıcı adı ve şifresiyle özel HTTP başlıklarını kullanarak C2 sunucusuna eksfiltrasyon için bir JSON yüküne paketlemek.
Birincil yükü, genellikle “XMRIG” ve “NetworkXM” gibi komutlarla tetiklenen kripto para madenciliğini içerir ve bu da muhtemelen tehlikeye atılan ana bilgisayara ek kötü amaçlı bileşenler indirilmesini içerir.
Pumabot’u birbirinden ayıran şey, sofistike kaçırma teknikleridir. BOTNET, Honeypot’ları ve kısıtlı ortamları sınırlamak için parmak izi mantığını içerir, “Pumatronix” gibi ipleri gözetim ve trafik kamera sistemleri üreticisi olarak açıkça kontrol eder.
Bu, belirli IoT cihazlarına odaklanan veya hariç tutulan ve gözetim ekosistemlerine potansiyel olarak sıfırlanan hedeflenen bir kampanya önermektedir.
Solucan benzeri otomatik yayılmadan kaçınarak Pumabot, C2 odaklı hedef seçime ve ağını genişletmek için kaba zorlamaya dayanarak yarı otomatik bir tehdit olarak çalışır.
İlgili ikili dosyalar gibi ddaemon (Go tabanlı bir arka kapı) ve installx.sh (Bash geçmişini temizleyen ve “1.lusyn gibi alanlardan daha fazla yük indiren bir kabuk komut dosyası[.]xyz ”), uzlaşma ve kalıcılığı en üst düzeye çıkarmak için düzenlenmiş daha geniş, çoklu tool bir kampanyayı belirtin.
Rapora göre, polyswarm analistleri Pumabot’u ortaya çıkan bir tehdit olarak işaretledi ve kontrolsüz bırakılırsa IoT ortamlarını bozma potansiyelinin altını çizdi.
Hedeflenen saldırıların, kalıcılık mekanizmalarının ve kaçırma taktiklerinin birleşimi, Pumabot’u IoT güvenliğinin gelişen manzarasında zorlu bir düşman haline getirir.
Uzlaşma Göstergeleri (IOCS)
| Sha-256 karma |
|---|
| a5125945d7489d611572325990c168db01dfedcd76a2e1ba08caa3c4532ca3 |
| 426276a76f20b823e896e3c08f1c42f3d15a91a55c3613c7b3bdbbbefp0bp0bd9a9 |
| 0957884a5864deb4389da3b68d3d2a139b565241da3bb7b9c4a51c9f83b0f838 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!