(https://i.imgur.com/Q3a3FPQ.jpeg)
Los dispositivos IoT basados en Linux están siendo blanco de una nueva y sofisticada botnet llamada PumaBot, desarrollada en el lenguaje de programación Go. Esta amenaza se propaga a través de ataques de fuerza bruta contra servicios SSH, con el objetivo de escalar rápidamente su infraestructura, distribuir malware adicional y establecer persistencia en los sistemas comprometidos.
Según un informe técnico publicado por Darktrace y compartido con The Hacker News, PumaBot no realiza escaneos aleatorios en Internet, sino que obtiene una lista predefinida de objetivos desde un servidor de comando y control (C2). Posteriormente, ejecuta ataques de fuerza bruta SSH para obtener acceso remoto, recibir comandos maliciosos y establecer mecanismos de persistencia mediante servicios del sistema.
¿Cómo funciona la botnet PumaBot?El proceso de infección de PumaBot se basa en varias etapas:
- Obtención de IPs vulnerables: el malware se conecta a ssh.ddos-cc[.]org, desde donde descarga una lista de direcciones IP con el puerto SSH abierto.
- Fuerza bruta SSH: intenta acceder a estas IPs utilizando credenciales por defecto o contraseñas débiles.
- Evasión de honeypots: PumaBot incorpora verificaciones para evitar sistemas trampa, incluyendo la búsqueda de la cadena "Pumatronix", un fabricante de cámaras de vigilancia.
- Filtrado de información y persistencia: una vez que compromete un dispositivo, recolecta información básica del sistema y crea un servicio systemd persistente, disfrazado como redis.service o mysqI.service (una variante maliciosa de mysql).
- Minería ilícita de criptomonedas: ejecuta comandos como xmrig y networkxm, indicativos de minería de Monero u otras criptomonedas en segundo plano.
Componentes adicionales del ecosistema maliciosoEl análisis de Darktrace identificó otros binarios y scripts usados como parte de una campaña más amplia vinculada a PumaBot:
- ddaemon: puerta trasera en Go que descarga y ejecuta el binario networkxm desde /usr/src/bao/ y ejecuta el script installx.sh.
- networkxm: herramienta de fuerza bruta SSH que replica la funcionalidad inicial del malware.
- installx.sh: descarga el script jc.sh desde 1.lusyn[.]xyz, lo ejecuta con permisos máximos y borra el historial de bash.
- jc.sh: obtiene un archivo malicioso pam_unix.so y un ejecutable llamado 1, reemplazando componentes legítimos del sistema.
- pam_unix.so: rootkit que roba credenciales interceptando inicios de sesión exitosos y los guarda en /usr/bin/con.txt.
- 1: binario que monitorea y exfiltra el archivo con.txt al servidor C2.
Recomendaciones para proteger sistemas Linux e IoT frente a PumaBotDado el comportamiento similar al de un gusano y la capacidad de evasión que presenta PumaBot, los administradores de sistemas deben implementar medidas preventivas de seguridad como:
- Monitorear intentos de inicio de sesión SSH fallidos y registrar actividad inusual.
- Auditar servicios systemd en busca de nombres sospechosos como redis.service o mysqI.service.
- Revisar el archivo authorized_keys para detectar claves SSH no autorizadas.
- Restringir el acceso SSH mediante reglas estrictas de firewall.
- Filtrar tráfico HTTP con encabezados anómalos, como X-API-KEY: jieruidashabi.
En conclusión, PumaBot representa una amenaza emergente en el ecosistema de ciberseguridad, especialmente para entornos que utilizan Linux en dispositivos IoT. Su capacidad para automatizar ataques SSH, establecer persistencia mediante técnicas legítimas y ejecutar funciones de minería ilegal lo convierte en una herramienta altamente peligrosa. Las organizaciones deben fortalecer sus prácticas de seguridad SSH, monitorear servicios activos y mantener políticas de actualización y endurecimiento de sistemas para prevenir infecciones.
Fuente: https://thehackernews.com/
No tienes permitido ver enlaces.
Registrate o Entra a tu cuentaDragora vive_? rindete al team gautuno o muere
Mi katana está afilada, mi espíritu es inquebrantable. ¡Fíjate bien a quien amenazas o haré que la historia recuerde este duelo!
(https://i.imgur.com/VE6QajN.jpeg)
Pd. Solid Water soy 100% Team Gato ;D .
Saludos apreciado AXCESS!!
oshe sister y brother por que no crean una sección del team gatuno oculta para socializar