Ein neues entwurmbares Linux-Botnet wurde in freier Wildbahn beobachtet. Genannt Abcbot, die Bedrohung zielt auf „relativ neue Cloud-Dienstleister“ ab (CPS) mit Cryptocurrency-Mining-Malware und Cryptojacking-Angriffen,” laut den Erkenntnissen von Trend Micro.
Die Malware setzt Code ein, der Anwendungen und Dienste hauptsächlich in der Huawei Cloud entfernt, wie der sogenannte Hostguard-Dienst, der Sicherheitsprobleme erkennt und das System schützt. Sicherheitsforscher vom Network Security Research Lab at 360 ebenfalls sofern technische Details zur neuen Linux-Malware.
Technischer Überblick über Abcbot
Abcbot wurde erstmals von Tencent-Forschern in entdeckt 2020 in einer Kampagne, die auf Container-Umgebungen ausgerichtet war. Die neueren Beispiele der Malware enthalten die gleiche Firewall-Regelerstellung, die in den Beispielen des letzten Jahres vorhanden war. "Jedoch, es wurde kommentiert, Es wird also keine Regel erstellt. Wir haben festgestellt, dass die neueren Beispiele nur auf Cloud-Umgebungen abzielen," Trend Micro wies darauf hin.
Es ist bemerkenswert, dass die Betreiber von Abcbot jetzt nach bestimmten öffentlichen Schlüsseln suchen, die ihnen helfen würden, ihre Konkurrenz aus dem infizierten System zu beseitigen und ihre eigenen Schlüssel zu aktualisieren. Dies zeigt, dass die Bedrohungsbetreiber eine umfassende Bereinigung des anvisierten Betriebssystems erreichen möchten. Die Malware versucht, sowohl frühere Infektionen als auch Sicherheitsprogramme zu lokalisieren, die ihre böswillige Operation verhindern könnten. Außerdem, Es verwendet auch „einfache, aber effektive Befehle zum Aufräumen, nachdem es seine Infektionsroutine durchgeführt hat“.
Sobald alle unnötigen Benutzer aus dem System entfernt wurden, die Malware erstellt mehrere eigene Benutzer, ein Verhalten, das in früheren Beispielen nur teilweise beobachtet wurde und auf die Cloud abzielte. Diese Kampagne, jedoch, erstellt mehr Benutzer mit generischen Namen wie „System“ und „Logger“. Der Zweck dieser Namen besteht darin, einen unerfahrenen Linux-Analysten dazu zu bringen, die Benutzer für legitim zu halten. Die böswilligen Benutzer erhalten auch administrative Befugnisse.
Ein weiteres interessantes Ergebnis ist, dass „das Hacking-Team auch seinen eigenen ssh-rsa-Schlüssel hinzufügt, um es ihnen zu ermöglichen, sich wiederholt am infizierten System anzumelden“. Sobald die Systemänderungen abgeschlossen sind, spezielle Berechtigungen werden hinzugefügt, um weitere Änderungen an diesen Dateien zu verhindern. Dies geschieht, um sicherzustellen, dass die erstellten Benutzer nicht entfernt oder geändert werden können.
Die Betreiber von Abcbot scannen das Zielsystem auch auf bestimmte Schwachstellen und Sicherheitslücken, Inklusive:
Schwache SSH-Passwörter
Sicherheitslücke im Oracle WebLogic Server-Produkt von Oracle Fusion Middleware (CVE-2020-14882)
Redis nicht autorisierter Zugriff oder schwache Passwörter
Unbefugter PostgreSQL-Zugriff oder schwaches Passwort
Schwaches SQLServer-Passwort
MongoDB nicht autorisierter Zugriff oder schwaches Passwort
Dateiübertragungsprotokoll (FTP) Schwaches Passwort
Das Endziel der Operation besteht darin, Kryptowährungs-Miner fallen zu lassen, die als die am häufigsten bereitgestellten Nutzlasten in Linux gelten. Die Forscher von Trend Micro haben sich vor ihrer Veröffentlichung mit ihren Ergebnissen an das Huawei Media Team gewandt, und warten derzeit auf die Bestätigung oder Antwort des Unternehmens.
Im Oktober 2021, Forscher aufgedeckt ein neuer, bisher unbekannte Malware Familie, die auf Linux-Systeme abzielt. Von ESET-Forschern als FontOnLake bezeichnet, und HCRootkit von Avast und Lacework, die Malware hat Rootkit-Fähigkeiten, fortschrittliches Design und niedrige Prävalenz, was darauf hindeutet, dass es in erster Linie für gezielte Angriffe gedacht ist.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: