Botnet, napsaný v jazyce Go, je navržen k provádění útoků hrubou silou na SSH instance, aby se rozšiřoval a doručoval další malware na infikované hostitele.

„Namísto prohledávání internetu malware získává seznam cílů ze serveru pro řízení a kontrolu (C2) a pokouší se prolomit SSH přihlašovací údaje,“ uvedla společnost Darktrace v analýze. „Po získání přístupu přijímá vzdálené příkazy a zajišťuje perzistenci pomocí systémových servisních souborů.“

Malware botnetu je navržen tak, aby získal počáteční přístup úspěšným prolomením SSH přihlašovacích údajů napříč seznamem získaných IP adres s otevřenými SSH porty. Seznam IP adres k cílení je získáván z externího serveru („ssh.ddos-cc[.]org“).

V rámci svých pokusů o prolomení provádí malware také různé kontroly, aby zjistil, zda je systém vhodný a není honeypotem. Dále kontroluje přítomnost řetězce „Pumatronix“, což je výrobce dohledových a dopravních kamerových systémů, což naznačuje buď snahu je specificky cílit, nebo naopak vyloučit.

Malware následně shromažďuje a odesílá základní systémové informace na C2 server, poté nastavuje perzistenci a provádí příkazy přijaté ze serveru.

„Malware se zapisuje do /lib/redis, aby se vydával za legitimní systémový soubor Redis,“ uvedla Darktrace. „Poté vytváří perzistentní službu systemd v /etc/systemd/system, pojmenovanou buď redis.service, nebo mysqI.service (všimněte si velkého I ve slově mysql), v závislosti na tom, co je v malwaru zakódováno.“

Tímto způsobem malware působí dojmem, že je neškodný, a zároveň přežívá restartování systému. Dva z příkazů, které botnet provádí, jsou „xmrig“ a „networkxm“, což naznačuje, že kompromitovaná zařízení jsou zneužívána k nelegální těžbě kryptoměn.

Zdroj: Thehackernews

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS