Se ha observado una nueva botnet con gusanos de Linux en estado salvaje. Abcbot llamado, la amenaza está dirigida a “proveedores de servicios en la nube relativamente nuevos (CPS) con malware de minería de criptomonedas y ataques de cryptojacking,"Según los hallazgos de Trend Micro.
El malware despliega código que elimina aplicaciones y servicios principalmente en Huawei Cloud, como el llamado servicio hostguard que detecta problemas de seguridad y protege el sistema. Investigadores de seguridad del Laboratorio de investigación de seguridad de redes en 360 además previsto detalles técnicos sobre el nuevo malware de Linux.
Descripción general técnica de Abcbot
Abcbot fue detectado por primera vez por investigadores de Tencent en 2020 en una campaña dirigida a entornos de contenedores. Las muestras más recientes del malware contienen la misma creación de reglas de firewall que estaba presente en las muestras del año pasado.. "Sin embargo, se ha comentado sobre, entonces no se crea ninguna regla. Hemos observado que las muestras más recientes solo están dirigidas a entornos de nube.,”Trend Micro señalado.
Cabe destacar que los operadores de Abcbot ahora están buscando claves públicas específicas que les ayudarían a eliminar su competencia del sistema infectado y actualizar sus propias claves.. Esto muestra que los operadores de amenazas quieren lograr una desinfección integral del sistema operativo objetivo.. El malware intenta localizar infecciones previas y utilidades de seguridad que podrían prevenir su operación maliciosa.. Adicionalmente, también utiliza "comandos simples pero efectivos para limpiar después de que realiza su rutina de infección".
Una vez que se eliminan del sistema todos los usuarios innecesarios, el malware crea varios usuarios propios, un comportamiento visto solo parcialmente en muestras anteriores dirigidas a la nube. esta campaña, sin embargo, crea más usuarios con nombres genéricos como "sistema" y "registrador". El propósito de estos nombres es engañar a un analista de Linux sin experiencia para que crea que los usuarios son legítimos.. Los usuarios malintencionados también tienen poderes administrativos.
Otro hallazgo interesante es que "el equipo de piratería también agrega su propia clave ssh-rsa para permitirles iniciar sesión repetidamente en el sistema infectado". Una vez que se realizan las modificaciones del sistema, Se agregan permisos especiales para prohibir más modificaciones en esos archivos.. Esto se hace para garantizar que los usuarios creados no se puedan eliminar ni modificar..
Los operadores de Abcbot también están escaneando el sistema objetivo en busca de vulnerabilidades específicas y lagunas de seguridad., Incluido:
Contraseñas SSH débiles
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2020-14882)
Redis acceso no autorizado o contraseñas débiles
Acceso no autorizado a PostgreSQL o contraseña débil
Contraseña débil de SQLServer
Acceso no autorizado de MongoDB o contraseña débil
Protocolo de transferencia de archivos (FTP) contraseña debil
El objetivo final de la operación es eliminar a los mineros de criptomonedas, que se consideran las cargas útiles más implementadas en Linux. Los investigadores de Trend Micro se comunicaron con el equipo de medios de Huawei con sus hallazgos antes de su publicación., y actualmente están esperando el reconocimiento o la respuesta de la empresa.
En octubre 2021, investigadores descubiertos un nuevo, malware nunca antes visto familia dirigida a sistemas Linux. Apodado FontOnLake por los investigadores de ESET, y HCRootkit de Avast y Lacework, el malware tiene capacidades de rootkit, diseño avanzado y baja prevalencia, sugiriendo que está destinado principalmente a ataques dirigidos.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: