Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Botnet PumaBot

Botnet PumaBot

Por Mezo en Redes de bots
Traducir a:

Una botnet de Linux recién descubierta, denominada PumaBot, está causando estragos en dispositivos IoT integrados. Desarrollado en Go, este malware utiliza métodos de fuerza bruta para descifrar credenciales SSH y despliega cargas maliciosas una vez obtenido el acceso. A diferencia de las botnets tradicionales que escanean internet indiscriminadamente, PumaBot se centra en direcciones IP específicas obtenidas directamente de su servidor de Comando y Control (C2).

Orientación de precisión: un cambio táctico en la explotación del IoT

PumaBot se distingue por extraer listas de IP objetivo seleccionadas de su servidor C2 (ssh.ddos-cc.org), lo que le permite realizar ataques muy focalizados. Este enfoque evita escaneos extensos de internet y sugiere la intención de comprometer organizaciones o dispositivos específicos. Incluso inspecciona los dispositivos en busca de la cadena "Pumatronix", una pista que podría indicar que se dirige a sistemas de cámaras de vigilancia y tráfico fabricados por este proveedor.

Del reconocimiento a la raíz: el ciclo de vida de los ataques de PumaBot

Una vez seleccionado un dispositivo, PumaBot realiza intentos de inicio de sesión SSH por fuerza bruta en el puerto 22. Si tiene éxito, ejecuta 'uname -a' para recopilar información del sistema y verificar que el dispositivo no sea un honeypot. Tras esta verificación, la botnet:

  • Escribe su binario principal (jierui) en /lib/redis
  • Instala un servicio systemd persistente (redis.service)
  • Inyecta su propia clave SSH en authorized_keys para acceso a largo plazo, incluso después de la limpieza del sistema

Más allá de la infección: ejecución de comandos y robo de datos

Con el acceso asegurado, PumaBot puede ejecutar más comandos, incluidos:

  • Implementación de nuevas cargas útiles
  • Exfiltración de datos sensibles
  • Facilitar el movimiento lateral dentro de las redes
  • Las cargas útiles detectadas incluyen:
  • Scripts de actualización automática
  • Rootkits PAM que reemplazan a pam_unix.so
  • Un binario demonio (llamado 1) que actúa como un observador de archivos

El módulo PAM malicioso registra las credenciales SSH y las almacena en con.txt. El binario 1 monitoriza este archivo y, una vez encontrado, lo exfiltra al servidor C2 antes de borrarlo del sistema infectado: una medida calculada para borrar su rastro.

Alcance desconocido, alto riesgo: la expansión silenciosa de PumaBot

Los investigadores aún no han determinado la escala ni la tasa de éxito de la campaña de PumaBot. El alcance de las listas de IP objetivo sigue siendo incierto. Sin embargo, el enfoque de la botnet en una infiltración más profunda en la red, en lugar de actividades de bajo nivel como ataques DDoS, sugiere que representa una amenaza significativa para la infraestructura corporativa y crítica.

Manténgase a la vanguardia: Defendiéndose de PumaBot y sus similares

Para reducir el riesgo de ser comprometido por PumaBot o amenazas similares:

  • Actualizar el firmware en todos los dispositivos IoT
  • Cambiar las credenciales predeterminadas
  • Implementar firewalls y restringir el acceso SSH
  • Aislar dispositivos IoT en redes segmentadas

Las prácticas de seguridad proactivas son esenciales para mantener a raya a los actores de botnets y proteger las redes empresariales de infracciones más profundas.

Tendencias

Mas Visto

Cargando...