Tsunami Botnet

Ein kürzlich eingerichtetes Botnetz namens Tsunami hat eine rasante Entwicklung durchlaufen, wobei Infosec-Forscher innerhalb kurzer Zeit eine beträchtliche Steigerung seiner Fähigkeiten beobachten konnten. Als die Aktivität des Botnetzes zum ersten Mal erkannt wurde, wurde eine Nutzlast bereitgestellt, die aus einer XMR Monero Crypto-Miner-Variante bestand. Als Kompromissvektor wurden falsch konfigurierte Docker-API-Systeme ausgenutzt. Beide Aspekte des Botnetzes wurden in der neuesten Version erheblich geändert.

Die Hacker, die für das Auslösen des Botnetzes verantwortlich sind, haben den Angriffsvektor gewechselt, und jetzt verbreitet sich der Tsunami durch eine WebLogic-Sicherheitslücke. Insbesondere wird die Sicherheitsanfälligkeit CVE-2020-14882 ausgenutzt, die mit einem Schweregrad von 9,8 von 10 bewertet wurde. Im Oktober 2020 veröffentlichte Oracle einen Patch, der das Problem behebt. Viele Ziele wurden jedoch nicht gepatcht und sind weiterhin Angriffen ausgesetzt. Die Anzahl der vom Botnetz gelieferten Malware-Nutzdaten verdoppelte sich durch die Einbeziehung von Tsunami-Binärdateien zusätzlich zu den zuvor beobachteten XMR-Crypto-Miner-Varianten. Für die seitliche Weitergabe innerhalb des gefährdeten Netzwerks wird SecureShell verwendet, indem SSH-Benutzer, Schlüssel, Hosts und Ports aufgelistet werden. Infosec-Forscher, die den zugrunde liegenden Code der Malware analysierten, entdeckten zwei Abschnitte nicht verwendeten Codes. Einer ist der Ausnutzung von Redis gewidmet, während der andere SecyreShell-Brute-Forcing versuchen kann. Eine weitere der Malware hinzugefügte Funktionalität ist die Möglichkeit, bestimmte Sicherheitslösungen und Überwachungstools zu beenden. Es kann auch laufende Prozesse für potenziell konkurrierende Mining-Tools beenden, die möglicherweise bereits von anderen Bedrohungsakteuren auf dem gefährdeten Ziel bereitgestellt wurden.

Während seiner mehrstufigen Angriffskette liefert das Botnetz mehrere .xms-Shell-Skripte und eine noch größere Anzahl von Python-Skripten. Im Allgemeinen haben die Shell-Skripte die Aufgabe, die Umgebung für die Bereitstellung der Malware-Nutzdaten vorzubereiten. Sie führen die Routinen zur Prozessbeendigung aus, deinstallieren bestimmte Endpoint Defense-Lösungen und führen die seitliche SSH-Bewegung durch, indem sie versuchen, Hosts zu infizieren, mit denen der Server zuvor Kontakt hatte. Die .xms-Skripte legen auch den Persistenzmechanismus der Bedrohung fest, indem sie Cronjobs nutzen, mit denen die Shell-Skripte und die Python-Skripte in festgelegten Intervallen heruntergeladen und ausgeführt werden - 1 Minute, 2 Minuten, 3 Minuten, 30 Minuten und jede Stunde. /etc/init.d/down wird ebenfalls überschrieben, um die Persistenz bei jedem Systemstart sicherzustellen.

Andererseits sind die Python-Skripte die Fahrzeuge, die die Malware-Nutzdaten des Botnetzes bereitstellen. Mit insgesamt vier Skripten können sie in zwei verschiedene Gruppen unterteilt werden. Die erste Gruppe, die bereitgestellt wird, ist die für den XMRig Monero Crypto-Miner. Außerdem wird über cron ein eigener Persistenzmechanismus eingerichtet, bevor die zweite Skriptgruppe initiiert wird. Zu diesem Zeitpunkt werden die Tsunami-Binärdateien auf dem Ziel abgerufen und initialisiert.

Die schnelle Entwicklung des Botnetzes in Verbindung mit der Entdeckung nicht verwendeter Funktionen, die jederzeit aktiviert werden können, zeigt die Fähigkeit von Cyberkriminellen, ihre Malware-Tools schnell anzupassen und zu ändern.