Sikkerhedsforskere afslørede for nylig Gitpaste-12, en ny orm ved hjælp af GitHub og Pastebin til opbevaring af komponentkode. Den nye malware har 12 forskellige angrebsmoduler tilgængelige, siger sikkerhedsfirmaet Juniper.
Gitpaste-12 Orm målrettet mod Linux-baserede x86-servere
Ormen Gitpaste-12 blev tydelig for forskerne i oktober, med nye angreb registreret i november. De første angreb var rettet mod Linux-baserede x86-servere, samt Linux ARM- og MIPS-baserede IoT-enheder.
Forskerne kaldte malware Gitpaste-12, fordi den bruger GitHub, Pastebin, og 12 metoder til at kompromittere et målrettet system. Forskerne rapporterede både Pastebin URL og git-arkivet, der blev brugt i angrebene efter deres opdagelse. Git repo blev efterfølgende lukket i oktober 30, 2020.
Den anden bølge af angreb startede i november 10, og Juniper siger, at det brugte nyttelast fra en anden GitHub-repo. Repoen indeholdt en Linux crypto mining malwarе, en fil med adgangskoder til brute-force angreb, og en eskalering af lokalt privilegium til x86_64-systemer.
Den første infektion opstår via X10-Unix, en binær skrevet på Go programmeringssprog, der downloader nyttetrins nyttelast fra GitHub.
Hvilken type enheder målretter Gitpaste-12 mod?
Webapplikationer, IP-kameraer, og routere er ormens primære mål i "en omfattende række angreb." Angrebene bruger i det mindste 31 kendte sårbarheder, syv af dem blev set i den forrige malware-prøve. Ormen forsøger også at kompromittere Android Debug Bridge-forbindelser, og eksisterende malware bagdøre, siger Juniper-forsker Asher Langton.
Det er bemærkelsesværdigt, at de fleste af de bedrifter, som ormen bruger, er nye, med offentliggørelse og proof-of-concept koder dateret så sent som i september. De seneste forekomster af Gitpaste-12 forsøger at udføre disse tre trin:
1. Installer Monero cryptomining-software.
2. Installer den relevante version af X10-unix-ormen.
3. Åbn en bagdør, der lytter på havne 30004 og 30006 og upload ofrets IP-adresse til en privat Pastebin-pasta.
En liste over alle de misbrugte misbrug i angrebene og yderligere tekniske detaljer findes i Juniper's rapport.
I oktober, sikkerhedsforskere opdagede en anden tidligere ukendt malware kaldet Ttint, kategoriseret som en IoT-specifik trojan. Angriberne brugte to nul-dags sårbarheder til at kompromittere målrettede enheder, CVE-2018-14558 og CVE-2020-10987. Fra de fangede prøver, det ser ud til, at malware var baseret på Mirai-kode.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: