Фахівці Darktrace виявили новий Go-шкідник PumaBot. Шкідливий бот націлений на пристрої під управлінням Linux і брутфорсить облікові дані SSH на IoT-девайсах з метою розгортання додаткових корисних навантажень.

Замість великого сканування інтернету, PumaBot цілеспрямовано атакує певні IP-адреси на основі списків, які отримує від свого керуючого сервера (ssh.ddos-cc[.]org). Отримавши список цільових IP, шкідник прагне виконати брутфорс-атаку на порт 22 для доступу до SSH. Дослідники не повідомляють, наскільки великі списки цільових IP-адрес.

Під час атаки PumaBot перевіряє наявність рядка «Pumatronix». На думку дослідників, це може свідчити про те, що метою атак є системи відеоспостереження та дорожні камери однойменного виробника.

У разі успішного злому малварь запускає команду uname -a, щоб зібрати інформацію про оточення і переконатися, що цільовий пристрій не є ханіпотом. Потім основний бінарник PumaBot (jierui) записується в /lib/redis, намагаючись замаскуватися під легітимний системний файл Redis. Для закріплення в системі та захисту від перезавантажень встановлюється служба systemd (redis.service або mysqI.service).

Шкідливий PAM-модуль збирає локальні та віддалені облікові дані SSH і зберігає їх у текстовому файлі (con.txt). Потім бінарник 1 передає цей файл на керуючий сервер. Причому після передачі даних текстовий файл видаляється із зараженого хоста, щоб знищити всі сліди шкідливої активності.

Зазначається, що серед команд PumaBot присутні xmrig і networkxm, тобто скомпрометовані пристрої можуть використовуватися для майнінгу криптовалюти. Однак під час проведення аналізу C2-сервер був недоступний, і визначити кінцеві цілі цього ботнету експертам не вдалося.