Los dispositivos integrados de Internet de las cosas (IoT) basado en Linux se han convertido en el objetivo de una nueva botnet doblada Vamos.
Escrito en GO, el botnet está diseñado para realizar ataques de fuerza bruta contra instancias SSH para expandirse en tamaño y escala y entregar malware adicional a los hosts infectados.
«En lugar de escanear Internet, el malware recupera una lista de objetivos de un servidor de comando y control (C2) e intenta bruta de las credenciales de SSH», dijo Darktrace en un análisis compartido con Hacker News. «Al obtener acceso, recibe comandos remotos y establece persistencia utilizando archivos de servicio del sistema».
El malware Botnet está diseñado para obtener el acceso inicial a través de credenciales SSH que forzan con éxito bruto en una lista de direcciones IP cosechadas con puertos SSH abiertos. La lista de direcciones IP a Target se recupera de un servidor externo («ssh.ddos-cc (.) Org»).
Como parte de sus intentos de fuerza bruta, el malware también realiza varias comprobaciones para determinar si el sistema es adecuado y no es un honeypot. Además, verifica la presencia de la cadena «Pumatronix», un fabricante de sistemas de vigilancia y cámara de tráfico, lo que indica un intento de destacarlos específicamente o excluirlos.
El malware luego procede a recopilar y exfiltrado la información básica del sistema al servidor C2, después de lo cual establece la persistencia y ejecuta los comandos recibidos del servidor.
«El malware se escribe a /lib /redis, intentando disfrazarse como un archivo de sistema Redis legítimo», dijo Darktrace. «Luego crea un servicio de Systemd persistente en/etc/systemd/sistema, llamado Redis.Service o MySQI.Service (tenga en cuenta la ortografía de MySQL con un capital i) dependiendo de lo que se haya codificado en el malware».
Al hacerlo, le permite al malware dar la impresión de que es benigno y también sobreviven a los reinicios. Dos de los comandos ejecutados por Botnet son «XMRIG» y «NetworkXM», lo que indica que los dispositivos comprometidos se están utilizando para extraer la criptomoneda de manera ilícita.
«Creo que el objetivo final es desplegar un criptominador, dada la referencia a XMRIG, sin embargo, dado que C2 estaba inactivo en el momento del análisis, no se puede determinar qué comandos se estaban enviando o recibiendo», dijo Tara Gould, líder de investigación de amenazas en Darktrace, a The Hacker News. «Es posible que se envíe otra carga útil, o se envió cryptominer desde el C2».
Sin embargo, los comandos se lanzan sin especificar las rutas completas, un aspecto que indica que las cargas útiles probablemente se descargan o desempaquetan en otro lugar del host infectado. Darktrace dijo que su análisis de la campaña descubrió otros binarios relacionados que se dice que se implementan como parte de una campaña más amplia,
- Ddaemon, una puerta trasera basada en GO que es recuperar el binario «NetworkXM» en «/usr/src/bao/networkxm» y ejecutar el script shell «installx.sh»
- NetworkXm, una herramienta SSH Brute-Force que funciona similar a la etapa inicial de Botnet obteniendo una lista de contraseñas de un servidor C2 e intenta conectarse a través de SSH en una lista de direcciones IP de destino
- installx.sh, que se utiliza para recuperar otro script de shell «jc.sh» de «1.lusyn (.) xyz», concórtelo leer, escribir y ejecutar permisos para todos
- JC.SH, que está configurado para descargar un archivo malicioso «pam_unix.so» de un servidor externo y usarlo para reemplazar la contraparte legítima instalada en la máquina, así como recuperar y ejecutar otro binario llamado «1» del mismo servidor
- pam_unix.so, que actúa como un rootkit que roba credenciales al interceptar inicios de sesión exitosos y escribirlas en el archivo «/usr/bin/con.txt»
- 1, que se utiliza para monitorear el archivo «Con.txt» que se escribe o se mueve a «/usr/bin/» y luego exfiltran su contenido al mismo servidor
Given that the SSH brute-force capabilities of the botnet malware lends it worm-like capabilities, users are required to keep an eye out for anomalous SSH login activity, particularly failed login attempts, audit systemd services regularly, review authorized_keys files for the presence of unknown SSH keys, apply strict firewall rules to limit exposure, and filter HTTP requests with non-standard headers, such as X-API-KEY: Jieruidashabi.
«La botnet representa una amenaza SSH persistente basada en GO que aprovecha la automatización, el falsos bruto credenciales y las herramientas nativas de Linux para ganar y mantener el control sobre los sistemas comprometidos», dijo Darktrace.
«Al imitar binarios legítimos (por ejemplo, Redis), abusar de Systemd para su persistencia e incrustar la lógica de huellas dactilares para evitar la detección en honeypots o entornos restringidos, demuestra una intención de evadir las defensas».