恶意软件从其C2(ssh.ddos-cc.org)接收目标IP列表,并尝试在端口22上执行暴力登录尝试以进行开放SSH访问。

在此过程中,它检查是否存在“Pumatronix”字符串,Darktrace认为该字符串可以与供应商针对监视和交通摄像头系统相对应。

一旦目标建立,恶意软件就会收到凭据来测试它们。

如果成功,它运行“名称 -a”来获取环境信息并验证目标设备不是蜜罐。

接下来,它将其主要二进制(jierui)写入/lib/redis并安装systemd服务(redis.service),以确保跨设备重新启动的持久性。

最后,它将自己的SSH注入到“authorized_keys”文件中以维持访问,即使在清除原发感染的清理情况下也是如此。

在感染保持活动状态时,PumaBot 可以接收命令以尝试数据泄漏、引入新的有效载荷或窃取在横向移动中有用的数据。

Darktrace 看到的示例有效载荷包括自更新脚本、替换合法 ‘pam_unix.so’ 的 PAM rootkit 和守护程序(二进制文件 ” ) 。

恶意 PAM 模块收集本地和远程 SSH 登录详细信息,并将其存储在文本文件 (con.txt) 中。“观察者”二进制(1)不断查找该文本文件,然后将其泄漏到C2。

被清除后,从受感染的主机上擦除文本文件,以删除恶意活动的任何痕迹。

PumaBot的规模和成功目前未知,Darktrace没有提及目标IP列表的广泛程度。

这种新的僵尸网络恶意软件在发起有针对性的攻击方面脱颖而出,这些攻击可能为更深层次的企业网络渗透开辟道路,而不是直接使用受感染的物联网进行低级网络犯罪,例如分布式拒绝服务(DoS)攻击或代理网络。

为了抵御僵尸网络威胁,将物联网升级到最新的可用固件版本,更改默认凭据,将它们放在防火墙后面,并将其保存在与有价值系统隔离的单独网络中。