Una nuova botnet Linux wormable è stata osservata in natura. Chiamato Abcbot, la minaccia sta prendendo di mira "fornitori di servizi cloud relativamente nuovi" (CPS) con malware di mining di criptovalute e attacchi di cryptojacking,"secondo i risultati di Trend Micro.
Il malware distribuisce codice che rimuove applicazioni e servizi principalmente in Huawei Cloud, come il cosiddetto servizio hostguard che rileva problemi di sicurezza e protegge il sistema. Ricercatori di sicurezza del Network Security Research Lab presso 360 anche purché dettagli tecnici sul nuovo malware Linux.
Panoramica tecnica di Abcbot
Abcbot è stato rilevato per la prima volta dai ricercatori Tencent in 2020 in una campagna mirata ad ambienti container. I campioni più recenti del malware contengono la stessa creazione di regole firewall che era presente nei campioni dell'anno scorso. "Tuttavia, è stato commentato, quindi non viene creata nessuna regola. Abbiamo osservato che i campioni più recenti si rivolgono solo agli ambienti cloud,"Trend Micro" sottolineato.
È interessante notare che gli operatori di Abcbot sono ora alla ricerca di chiavi pubbliche specifiche che li aiutino a eliminare la concorrenza dal sistema infetto e ad aggiornare le proprie chiavi. Ciò dimostra che gli operatori delle minacce vogliono realizzare una sanificazione completa del sistema operativo mirato. Il malware tenta di individuare sia le infezioni precedenti che le utilità di sicurezza che potrebbero impedire il suo funzionamento dannoso. In aggiunta, utilizza anche "comandi semplici ma efficaci per ripulire dopo aver eseguito la sua routine di infezione".
Una volta rimossi tutti gli utenti non necessari dal sistema, il malware crea diversi utenti da solo, un comportamento visto solo parzialmente nei campioni precedenti rivolti al cloud. Questa campagna, tuttavia, crea più utenti con nomi generici come "sistema" e "logger". Lo scopo di questi nomi è ingannare un analista Linux inesperto facendogli credere che gli utenti siano legittimi. Agli utenti malintenzionati vengono anche dati poteri amministrativi.
Un'altra scoperta interessante è che "il team di hacker aggiunge anche la propria chiave ssh-rsa per consentire loro di accedere ripetutamente al sistema infetto". Una volta apportate le modifiche al sistema, vengono aggiunti permessi speciali per vietare ulteriori modifiche su quei file. Questo viene fatto per garantire che gli utenti creati non possano essere rimossi o modificati.
Gli operatori di Abcbot stanno anche scansionando il sistema mirato alla ricerca di vulnerabilità specifiche e scappatoie di sicurezza, Compreso:
SSH password deboli
Vulnerabilità nel prodotto Oracle WebLogic Server di Oracle Fusion Middleware (CVE-2020-14882)
Redis accessi non autorizzati o password deboli
Accesso non autorizzato a PostgreSQL o password debole
Password debole di SQLServer
Accesso non autorizzato MongoDB o password debole
File Transfer Protocol (FTP) Password Debole
L'obiettivo finale dell'operazione è eliminare i minatori di criptovaluta, che sono considerati i payload più distribuiti in Linux. I ricercatori di Trend Micro hanno contattato Huawei Media Team con i loro risultati prima della loro pubblicazione, e sono attualmente in attesa del riconoscimento o della risposta dell'azienda.
Nel mese di ottobre 2021, ricercatori scoperti un nuovo, malware mai visto prima famiglia mirata ai sistemi Linux. Soprannominato FontOnLake dai ricercatori ESET, e HCRootkit di Avast e Lacework, il malware ha capacità di rootkit, design avanzato e bassa prevalenza, suggerendo che è principalmente pensato per attacchi mirati.