Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Botnetze PumaBot-Botnetz

PumaBot-Botnetz

Von Mezo in Botnetze
Übersetzen Sie in:

Ein neu entdecktes Linux-Botnetz namens PumaBot richtet Chaos auf eingebetteten IoT-Geräten an. Die in Go geschriebene Malware nutzt Brute-Force-Methoden, um SSH-Anmeldeinformationen zu knacken und nach dem Zugriff schädliche Payloads zu installieren. Im Gegensatz zu herkömmlichen Botnetzen, die das Internet wahllos durchsuchen, konzentriert sich PumaBot auf bestimmte IP-Adressen, die direkt von seinem Command-and-Control-Server (C2) abgerufen werden.

Präzisionszielerfassung: Ein taktischer Wandel bei der IoT-Ausnutzung

PumaBot zeichnet sich dadurch aus, dass er kuratierte IP-Ziellisten von seinem C2-Server (ssh.ddos-cc.org) abruft und so hochgradig zielgerichtete Angriffe durchführen kann. Dieser Ansatz vermeidet umfassende Internet-Scans und suggeriert die Absicht, bestimmte Organisationen oder Geräte zu kompromittieren. PumaBot prüft Geräte sogar auf die Zeichenfolge „Pumatronix“ – ein Hinweis, der auf die gezielte Nutzung von Überwachungs- und Verkehrskamerasystemen dieses Herstellers hindeuten könnte.

Von der Aufklärung bis zur Wurzel: Der Angriffszyklus von PumaBot

Sobald ein Gerät ausgewählt ist, führt PumaBot Brute-Force-SSH-Anmeldeversuche an Port 22 durch. Bei Erfolg führt er „uname -a“ aus, um Systeminformationen zu sammeln und zu überprüfen, ob es sich bei dem Gerät um einen Honeypot handelt. Nach dieser Überprüfung führt das Botnetz Folgendes aus:

  • Schreibt seine Hauptbinärdatei (jierui) nach /lib/redis
  • Installiert einen persistenten systemd-Dienst (redis.service)
  • Fügt seinen eigenen SSH-Schlüssel in authorized_keys ein, um auch nach Systembereinigungen einen langfristigen Zugriff zu ermöglichen

Mehr als nur Infektion: Befehlsausführung und Datendiebstahl

Wenn der Zugriff gesichert ist, kann PumaBot weitere Befehle ausführen, darunter:

  • Bereitstellen neuer Nutzlasten
  • Exfiltrieren sensibler Daten
  • Erleichterung der lateralen Bewegung innerhalb von Netzwerken
  • Zu den erkannten Nutzlasten gehören:
  • Selbstaktualisierende Skripte
  • PAM-Rootkits, die pam_unix.so ersetzen
  • Eine Daemon-Binärdatei (mit dem Namen 1), die als Dateiwächter fungiert

Das bösartige PAM-Modul protokolliert SSH-Anmeldeinformationen und speichert sie in der Datei con.txt. Die Binärdatei 1 überwacht diese Datei und schleust sie, sobald sie gefunden wird, auf den C2-Server aus, bevor sie vom infizierten System gelöscht wird – ein kalkulierter Schachzug, um seine Spuren zu verwischen.

Unbekannter Umfang, hohe Einsätze: PumaBots stille Expansion

Forscher haben das Ausmaß und die Erfolgsquote der PumaBot-Kampagne noch nicht ermittelt. Der Umfang der Ziel-IP-Listen ist noch unklar. Der Fokus des Botnetzes auf tiefere Netzwerkinfiltrationen und weniger auf einfache Aktivitäten wie DDoS-Angriffe deutet jedoch darauf hin, dass es eine erhebliche Bedrohung für Unternehmens- und kritische Infrastrukturen darstellt.

Immer einen Schritt voraus: Verteidigung gegen PumaBot und seinesgleichen

So verringern Sie das Risiko einer Gefährdung durch PumaBot oder ähnliche Bedrohungen:

  • Aktualisieren Sie die Firmware auf allen IoT-Geräten
  • Standardanmeldeinformationen ändern
  • Setzen Sie Firewalls ein und beschränken Sie den SSH-Zugriff
  • Isolieren Sie IoT-Geräte in segmentierten Netzwerken

Um Botnet-Akteure in Schach zu halten und Unternehmensnetzwerke vor schwerwiegenderen Angriffen zu schützen, sind proaktive Sicherheitsmaßnahmen unerlässlich.

Im Trend

Am häufigsten gesehen

Wird geladen...