详细内容或原文请订阅后点击阅览
新的Pumabot目标Linux IoT监视设备
Pumabot针对Linux IoT设备,使用SSH蛮力攻击来窃取凭据,传播恶意软件和矿山加密。 DarkTrace的研究人员发现了一种名为Pumabot Targets基于Linux的IoT设备的新僵尸网络,使用SSH Brute-Force攻击来窃取凭据,传播恶意软件和地雷加密货币。 Pumabot跳过广泛的互联网扫描,而是从其[…]
来源:Security Affairs _恶意软件新的Pumabot目标Linux IoT监视设备
Pumabot针对Linux IoT设备,使用SSH蛮力攻击来窃取凭据,传播恶意软件和矿山加密。
DarkTrace的研究人员发现了一种新的僵尸网络,称为Pumabot Targets基于Linux的IoT设备,使用SSH Brute-Force攻击来窃取凭据,传播恶意软件和我的加密货币。
Pumabot跳过了广泛的Internet扫描,而是将目标从其C2服务器列出到Brute-Force SSH登录。进入后,它可以通过创建系统服务文件来运行远程命令并设置持久性。研究人员分析了其核心特征和相关的二进制文件,以更好地了解该活动。
pumabot是一个基于GO的僵尸网络,它通过其C2服务器获取的IPS的SSH凭据brute-Forces SSH凭据,以传播和维护访问权限。登录后,它将自己部署,收集系统信息,并以唯一的标头以JSON格式发送回它。它隐藏在 /lib /redis中,创建虚假的SystemD服务,并添加SSH键以保持持久性。该恶意软件运行诸如XMRIG之类的加密机器,以及相关的二进制文件,例如Ddaemon和NetworkXM,通过启用更新和进一步的蛮力活动来支持其广告系列。
/lib/redis
xmrig
ddaemon
NetworkXM
“恶意软件首先从C2服务器(SSH.DDOS-CC [。] org)通过getips()函数检索可能具有开放式SSH端口的IP地址列表。然后,它在端口22上使用C2通过readLinesFromurlomurl(),brute(),bromute(),bromute(),以及(),以及bromute(),&bromute(),以及)(),以及),以及(),以及brog of。阅读DarkTrace发布的报告。 “在Trysshlogin()中,恶意软件执行多个环境指纹检查。这些检查用于避免蜜罐和不合适的执行环境,例如受限的外壳。”
报告“值得注意的是,恶意软件检查了监视和交通摄像头系统制造商的字符串“ Pumatronix”的存在,这表明潜在的物联网定位或努力逃避特定的设备。”报告报告。
redis