据报道,一种名为PumaBot的新型恶意软件被发现,它使用暴力破解技术攻击嵌入式物联网设备的SSH凭证,以部署恶意负载。来源。这款基于Go语言的Linux恶意软件通过从其指挥与控制(C2)服务器获取特定目标IP列表,进行精确攻击,而不是进行广泛的互联网扫描。
根据Darktrace的报告,PumaBot在攻击过程中尝试通过端口22进行暴力登录,以开放SSH访问。该软件还检查名为”Pumatronix”的字符串,据推测可能针对监控摄像头和交通摄像系统。成功入侵后,它会运行’uname -a’命令获取设备信息,并验证目标设备不是蜜罐。接着,它将主要二进制文件写入/lib/redis,并安装systemd服务以确保设备重启后仍能保持持久性。
PumaBot恶意软件还会将自己的SSH凭证注入’authorized_keys’文件中,即便进行清理后仍能保持访问权限。恶意软件可以接收命令进行数据窃取、引入新负载或获取用于横向移动的数据。防御这种恶意软件的建议包括升级设备固件、更改默认凭证、使用防火墙以及将设备隔离在独立网络中。