Gitpaste-12 Botnet

Gitpaste-12 ist ein Botnetz und eine äußerst ausgefeilte Wurmbedrohung, die mit einer Vielzahl von Bedrohungsfunktionen ausgestattet wurde. Der Name Gitpaste-12 wurde von der Tatsache abgeleitet, dass bestimmte Komponenten der Bedrohung auf legitimen Diensten wie GitHub und Pastebin gehostet wurden. Die Zahl 12 bezeichnet die 12 verschiedenen Angriffsvektoren, die vom Wurm ausgenutzt werden - 11 Sicherheitslücken und eine Telnet-Brute-Force-Funktion. Zwei der Sicherheitslücken betreffen Apache Struts und MongoDB, zwei weit verbreitete Open-Source-Komponenten. Die Malware wurde entwickelt, um Linux-basierte x86-Server sowie Linux ARM- und MIPS-basierte Internet of Things (IoT) -Geräte zu infizieren.

Die Tatsache, dass die Hauptnutzlast von Gitpaste-12 Botnet auf echten Websites wie GitHub und Pastebin gehostet wurde, macht es umso schwieriger, die Command-and-Control-Infrastruktur (C2, C&C) der Malware innerhalb des gefährdeten Netzwerks zu blockieren. Es sollte beachtet werden, dass Gitpaste-12 ab Juli 2020 mehrere Monate auf Github präsent war, aber entfernt wurde, nachdem es von den Forschern der Juniper Threat Labs entdeckt wurde. Während dies die Verbreitung des Botnetzes effektiv stoppt, können die Hacker ihre C2-Infrastruktur an anderer Stelle einrichten. Dies ist sehr wahrscheinlich darauf zurückzuführen, dass Gitpaste-12 derzeit aktiv entwickelt wird, was durch mehrere Faktoren belegt wird.

Sobald sich Gitpaste-12 im Zielgerät befindet, werden mehrere Ebenen von Anti-Malware-Schutzmaßnahmen beendet. Es deaktiviert Firewall-Regeln, Apparmor, Selinux usw. Anschließend können die Hacker Reverse-Shell-Befehle über die TCP-Ports 30004 und 30005 ausführen, wie dies auf einigen infizierten Systemen der Fall ist. Gitpaste-12 verfügt über verschiedene Module, die dafür verantwortlich sind, einen Monero Cryptocurrency Miner auf den gefährdeten Geräten zu löschen, ein Telnet-basiertes Skript für Brute-Force-Angriffe auf Linux-Server und IoT-Geräte auszuführen, einen Persistenzmechanismus durch Cronjob usw. Der Wurm kann sich selbst verbreiten und andere Computer infizieren, indem er einen zufälligen / 8 CIDR auswählt und alle Adressen in diesem Bereich ausprobiert.