Sicherheitsforscher haben kürzlich Gitpaste-12 entdeckt, Ein neuer Wurm, der GitHub und Pastebin zum Speichern von Komponentencode verwendet. Die neue Malware hat 12 verschiedene Angriffsmodule verfügbar, sagt Sicherheitsfirma Juniper.
Gitpaste-12-Wurm für Linux-basierte x86-Server
Der Gitpaste-12-Wurm wurde den Forschern im Oktober klar, mit neuen Angriffen im November registriert. Die ersten Angriffe richteten sich gegen Linux-basierte x86-Server, sowie Linux ARM- und MIPS-basierte IoT-Geräte.
Die Forscher nannten die Malware Gitpaste-12, weil sie GitHub verwendet, Pastebin, und 12 Methoden, um ein Zielsystem zu gefährden. Die Forscher berichteten sowohl über die Pastebin-URL als auch über das Git-Repository, das bei den Angriffen nach ihrer Entdeckung verwendet wurde. Das Git Repo wurde daraufhin im Oktober geschlossen 30, 2020.
Die zweite Angriffswelle begann im November 10, und Juniper sagt, dass es Nutzdaten von einem anderen GitHub-Repo verwendet hat. Das Repo enthielt eine Linux Crypto Mining Malware, Eine Datei mit Passwörtern für Brute-Force-Angriffe, und ein Exploit zur Eskalation lokaler Berechtigungen für x86_64-Systeme.
Die Erstinfektion erfolgt über X10-Unix, Eine Binärdatei, die in der Programmiersprache Go geschrieben ist, das lädt die Payloads der nächsten Stufe von GitHub herunter.
Auf welche Art von Geräten zielt Gitpaste-12 ab?
Web Applikationen, IP-Kameras, und Router sind die Hauptziele des Wurms in "einer weitreichenden Reihe von Angriffen". Die Angriffe verwenden zumindest 31 bekannte Schwachstellen, Sieben davon wurden im vorherigen Malware-Beispiel gesehen. Der Wurm versucht auch, Android Debug Bridge-Verbindungen zu gefährden, und vorhandene Malware-Backdoors, sagt der Wacholderforscher Asher Langton.
Es ist bemerkenswert, dass die meisten Exploits, die der Wurm verwendet, neu sind, mit öffentlichen Bekanntmachungen und Proof-of-Concept-Codes, die erst im September datiert wurden. Die jüngsten Instanzen von Gitpaste-12 versuchen, diese drei Schritte auszuführen:
1. Installieren Sie die Monero Cryptomining-Software.
2. Installieren Sie die entsprechende Version des X10-Unix-Wurms.
3. Öffnen Sie eine Hintertür, die Ports überwacht 30004 und 30006 und laden Sie die IP-Adresse des Opfers in eine private Pastebin-Paste hoch.
Eine Liste aller bei den Angriffen missbrauchten Exploits sowie weitere technische Details finden Sie unter Junipers Bericht.
Im Oktober, Sicherheitsforscher haben zuvor einen anderen entdeckt unbekannte Malware namens Ttint, als IoT-spezifischer Trojaner kategorisiert. Die Angreifer nutzten zwei Zero-Day-Sicherheitslücken, um Zielgeräte zu gefährden, CVE-2018-14558 und CVE-2020-10987. Aus den aufgenommenen Proben, Es scheint, dass die Malware auf Mirai-Code basiert.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: