Ciberseguridad 360 | Nueva botnet PumaBot ataca a dispositivos IoT Linux para robar credenciales SSH y minar criptomonedas

Los dispositivos de Internet de las Cosas (IoT) basados en Linux se han convertido en el objetivo de una nueva red de bots denominada PumaBot.

Escrito en Go, el botnet est� dise�ado para realizar ataques de fuerza bruta contra instancias SSH para ampliar su tama�o y escala y entregar malware adicional a los hosts infectados.

"En lugar de escanear Internet, el malware recupera una lista de objetivos de un servidor de comando y control (C2) e intenta forzar las credenciales SSH", explica Darktrace en un an�lisis compartido con The Hacker News. "Al obtener acceso, recibe comandos remotos y establece la persistencia utilizando archivos de servicio del sistema".

El malware de la botnet est� dise�ado para obtener acceso inicial forzando las credenciales SSH a trav�s de una lista de direcciones IP con puertos SSH abiertos. La lista de direcciones IP objetivo se obtiene de un servidor externo ("ssh.ddos-cc[.]org").

Como parte de sus intentos de fuerza bruta, el malware tambi�n realiza varias comprobaciones para determinar si el sistema es adecuado y no se trata de un honeypot. Adem�s, comprueba la presencia de la cadena "Pumatronix", un fabricante de sistemas de c�maras de vigilancia y tr�fico, lo que indica un intento de se�alarlos espec�ficamente o de excluirlos.

A continuaci�n, el malware procede a recopilar y exfiltrar informaci�n b�sica del sistema al servidor C2, tras lo cual configura la persistencia y ejecuta los comandos recibidos del servidor.

"El malware se escribe a s� mismo en /lib/redis, intentando camuflarse como un archivo leg�timo del sistema Redis", explica Darktrace. "A continuaci�n, crea un servicio persistente systemd en /etc/systemd/system, llamado redis.service o mysqI.service (n�tese la ortograf�a de mysql con I may�scula) dependiendo de lo que se haya codificado en el malware".

De este modo, el malware puede dar la impresi�n de ser benigno y sobrevivir a los reinicios. Dos de los comandos ejecutados por la botnet son "xmrig" y "networkxm", lo que indica que los dispositivos comprometidos se est�n utilizando para minar criptomoneda de forma il�cita.

Sin embargo, los comandos se lanzan sin especificar las rutas completas, un aspecto que indica que es probable que las cargas �tiles se descarguen o descompriman en otro lugar del host infectado. Darktrace dijo que su an�lisis de la campa�a descubri� otros archivos binarios relacionados que se dice que se despliegan como parte de una campa�a m�s amplia.

ddaemon, una puerta trasera basada en Go que recupera el binario "networkxm" en "/usr/src/bao/networkxm" y ejecuta el script de shell "installx.sh".

networkxm, una herramienta de fuerza bruta SSH que funciona de forma similar a la etapa inicial de la botnet, obteniendo una lista de contrase�as de un servidor C2 e intentando conectarse mediante SSH a trav�s de una lista de direcciones IP de destino

installx.sh, que se utiliza para recuperar otro script de shell "jc.sh" de "1.lusyn[.]xyz", concederle permisos de lectura, escritura y ejecuci�n para todos los niveles de acceso, ejecutar el script y borrar el historial de bash.

jc.sh, que est� configurado para descargar un archivo malicioso "pam_unix.so" de un servidor externo y utilizarlo para reemplazar el archivo leg�timo instalado en la m�quina, as� como para recuperar y ejecutar otro archivo binario llamado "1" del mismo servidor.

pam_unix.so, que act�a como un rootkit que roba credenciales interceptando los inicios de sesi�n exitosos y escribi�ndolos en el archivo "/usr/bin/con.txt"

1, que se utiliza para monitorizar si el archivo "con.txt" se escribe o se mueve a "/usr/bin/" y luego exfiltrar su contenido al mismo servidor

Dado que las capacidades de fuerza bruta SSH del malware de la botnet le confieren capacidades similares a las de un gusano, se requiere que los usuarios est�n atentos a la actividad an�mala de inicio de sesi�n SSH, en particular los intentos fallidos de inicio de sesi�n, auditar los servicios systemd con regularidad, revisar los archivos authorized_keys para detectar la presencia de claves SSH desconocidas, aplicar reglas estrictas de firewall para limitar la exposici�n y filtrar las solicitudes HTTP con encabezados no est�ndar, como X-API-KEY: jieruidashabi.

"La botnet representa una amenaza SSH persistente basada en Go que aprovecha la automatizaci�n, el forzamiento de credenciales y las herramientas nativas de Linux para obtener y mantener el control sobre los sistemas comprometidos", afirma Darktrace.

"Al imitar binarios leg�timos (por ejemplo, Redis), abusar de systemd para la persistencia e incrustar l�gica de huellas digitales para evitar la detecci�n en honeypots o entornos restringidos, demuestra la intenci�n de evadir las defensas."

Fuente: thehackernews