Er is een nieuw wormbaar Linux-botnet in het wild waargenomen. genaamd Abcbot, de dreiging is gericht op "relatief nieuwe cloudserviceproviders" (CPS'en) met cryptocurrency-mining-malware en cryptojacking-aanvallen,” volgens de bevindingen van Trend Micro.
De malware zet code in die applicaties en services verwijdert, voornamelijk in Huawei Cloud, zoals de zogenaamde hostguard-service die beveiligingsproblemen detecteert en het systeem beschermt. Beveiligingsonderzoekers van Network Security Research Lab at 360 ook voorzien technische details over de nieuwe Linux-malware.
Technisch overzicht van Abcbot
Abcbot werd voor het eerst ontdekt door Tencent-onderzoekers in 2020 in een campagne gericht op containeromgevingen. De nieuwere voorbeelden van de malware bevatten dezelfde aanmaak van firewallregels als in de voorbeelden van vorig jaar. "Echter, het is becommentarieerd, dus er wordt geen regel gemaakt. We hebben geconstateerd dat de nieuwere voorbeelden zich alleen richten op cloudomgevingen,"Trend Micro" wees erop.
Het is opmerkelijk dat de operators van Abcbot nu op zoek zijn naar specifieke openbare sleutels die hen zouden helpen hun concurrentie van het geïnfecteerde systeem te elimineren en hun eigen sleutels bij te werken. Dit toont aan dat de dreigingsoperators een uitgebreide zuivering van het beoogde besturingssysteem willen bewerkstelligen. De malware probeert zowel eerdere infecties als beveiligingshulpprogramma's te lokaliseren die de kwaadaardige werking ervan kunnen voorkomen. Bovendien, het maakt ook gebruik van "eenvoudige maar effectieve commando's om op te ruimen nadat het zijn infectieroutine heeft uitgevoerd."
Zodra alle onnodige gebruikers uit het systeem zijn verwijderd, de malware maakt zelf meerdere gebruikers aan, een gedrag dat slechts gedeeltelijk werd gezien in eerdere voorbeelden die gericht waren op de cloud. Deze campagne, echter, creëert meer gebruikers met generieke namen zoals "systeem" en "logger". Het doel van deze namen is om een onervaren Linux-analist te laten geloven dat de gebruikers legitiem zijn. De kwaadwillende gebruikers krijgen ook administratieve bevoegdheden.
Een andere interessante bevinding is dat "het hackteam ook hun eigen ssh-rsa-sleutel toevoegt om hen in staat te stellen herhaaldelijk in te loggen op het geïnfecteerde systeem." Zodra systeemaanpassingen zijn gedaan, speciale machtigingen zijn toegevoegd om verdere wijzigingen aan die bestanden te verbieden. Dit wordt gedaan om ervoor te zorgen dat de aangemaakte gebruikers niet kunnen worden verwijderd of gewijzigd.
De operators van Abcbot scannen het beoogde systeem ook op specifieke kwetsbaarheden en mazen in de beveiliging, Inclusief:
SSH zwakke wachtwoorden
Kwetsbaarheid in het Oracle WebLogic Server-product van Oracle Fusion Middleware (CVE-2020-14882)
Ongeautoriseerde toegang of zwakke wachtwoorden opnieuw weergeven
PostgreSQL ongeautoriseerde toegang of zwak wachtwoord
SQLServer zwak wachtwoord
MongoDB ongeautoriseerde toegang of zwak wachtwoord
Protocol voor bestandsoverdracht (FTP) Zwak wachtwoord
Het einddoel van de operatie is het laten vallen van cryptocurrency-mijnwerkers, die worden beschouwd als de meest geïmplementeerde payloads in Linux. Trend Micro-onderzoekers hebben voorafgaand aan hun publicatie contact opgenomen met het Huawei Media Team met hun bevindingen, en wachten momenteel op de bevestiging of het antwoord van het bedrijf.
In oktober 2021, onderzoekers ontdekt een nieuwe, voorheen onzichtbare malware familie gericht op Linux-systemen. Nagesynchroniseerd FontOnLake door ESET-onderzoekers, en HCRootkit van Avast en Lacework, de malware heeft rootkit-mogelijkheden, geavanceerd ontwerp en lage prevalentie, wat suggereert dat het voornamelijk bedoeld is voor gerichte aanvallen.