Beveiligingsonderzoekers hebben onlangs Gitpaste-12 ontdekt, een nieuwe worm die GitHub en Pastebin gebruikt om componentcode te behouden. De nieuwe malware heeft 12 verschillende aanvalsmodules beschikbaar, zegt beveiligingsbedrijf Juniper.
Gitpaste-12 Worm gericht op op Linux gebaseerde x86-servers
De Gitpaste-12-worm werd in oktober duidelijk voor de onderzoekers, met nieuwe aanvallen geregistreerd in november. De eerste aanvallen waren gericht op op Linux gebaseerde x86-servers, evenals Linux ARM- en MIPS-gebaseerde IoT-apparaten.
De onderzoekers noemden de malware Gitpaste-12 omdat deze GitHub gebruikt, pastebin, en 12 methoden om een gericht systeem in gevaar te brengen. De onderzoekers rapporteerden zowel de Pastebin-URL als de git-repository die bij de aanvallen werd gebruikt na hun ontdekking. De git-repo werd vervolgens in oktober gesloten 30, 2020.
De tweede aanvalsgolf begon in november 10, en Juniper zegt dat het payloads van een andere GitHub-repo gebruikte. De opslagplaats bevatte een Linux cryptomining-malwarе, een bestand met wachtwoorden voor aanvallen met brute kracht, en een escalatie-exploit voor lokale privileges voor x86_64-systemen.
De eerste infectie vindt plaats via X10-Unix, een binair bestand geschreven in de programmeertaal Go, die de payloads van de volgende fase downloadt van GitHub.
Op welk type apparaten is Gitpaste-12 gericht?
web applicaties, IP-camera's, en routers zijn het belangrijkste doelwit van de worm in "een brede reeks aanvallen". De aanvallen gebruiken tenminste 31 bekende kwetsbaarheden, waarvan er zeven zijn gezien in het vorige malwarevoorbeeld. De worm probeert ook Android Debug Bridge-verbindingen in gevaar te brengen, en bestaande achterdeurtjes voor malware, zegt Juniper-onderzoeker Asher Langton.
Het is opmerkelijk dat de meeste exploits die de worm gebruikt nieuw zijn, met openbare bekendmakingen en proof-of-concept codes die pas in september zijn gedateerd. De recente gevallen van Gitpaste-12 proberen deze drie stappen te volbrengen:
1. Installeer Monero cryptomining-software.
2. Installeer de juiste versie van de X10-unix-worm.
3. Open een achterdeur die op poorten luistert 30004 en 30006 en upload het IP-adres van het slachtoffer naar een privé Pastebin-pasta.
Een lijst met alle misbruiken tijdens de aanvallen en verdere technische details zijn beschikbaar in Juniper's rapport.
In oktober, beveiligingsonderzoekers ontdekten een andere eerder onbekende malware genaamd Ttint, gecategoriseerd als een IoT-specifieke Trojan. De aanvallers gebruikten twee zero-day-kwetsbaarheden om gerichte apparaten te compromitteren, CVE-2018-14558 en CVE-2020-10987. Van de vastgelegde monsters, het lijkt erop dat de malware was gebaseerd op Mirai-code.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: