Um novo botnet wormable do Linux foi observado em liberdade. Abcbot Chamado, a ameaça tem como alvo “provedores de serviços em nuvem relativamente novos (CPSs) com malware de mineração de criptomoedas e ataques de criptomoeda,”De acordo com as descobertas da Trend Micro.
O malware implanta código que remove aplicativos e serviços principalmente na nuvem Huawei, como o chamado serviço hostguard, que detecta problemas de segurança e protege o sistema. Pesquisadores de segurança do Network Security Research Lab em 360 Além disso forneceu detalhes técnicos sobre o novo malware Linux.
Visão geral técnica do Abcbot
O Abcbot foi detectado pela primeira vez por pesquisadores da Tencent em 2020 em uma campanha que visou ambientes de contêiner. As amostras mais recentes do malware contêm a mesma criação de regra de firewall que estava presente nas amostras do ano passado. "No entanto, foi comentado, então nenhuma regra é criada. Observamos que as amostras mais recentes têm como alvo apenas ambientes de nuvem,”Trend Micro apontou.
É digno de nota que os operadores do Abcbot estão agora procurando por chaves públicas específicas que os ajudariam a eliminar a competição do sistema infectado e atualizar suas próprias chaves. Isso mostra que os operadores de ameaças desejam realizar uma limpeza abrangente do sistema operacional alvo. O malware tenta localizar infecções anteriores e utilitários de segurança que podem impedir sua operação maliciosa. além do que, além do mais, ele também utiliza “comandos simples, mas eficazes para limpar depois de executar sua rotina de infecção”.
Assim que todos os usuários desnecessários forem removidos do sistema, o malware cria vários usuários próprios, um comportamento visto apenas parcialmente em amostras anteriores visando a nuvem. Esta campanha, Contudo, cria mais usuários com nomes genéricos, como “sistema” e “registrador”. O objetivo desses nomes é enganar um analista Linux inexperiente, fazendo-o acreditar que os usuários são legítimos. Os usuários mal-intencionados também recebem poderes administrativos.
Outra descoberta interessante é que “a equipe de hackers também adiciona sua própria chave ssh-rsa para permitir que eles se conectem repetidamente ao sistema infectado”. Assim que as modificações do sistema forem feitas, permissões especiais são adicionadas para proibir modificações adicionais nesses arquivos. Isso é feito para garantir que os usuários criados não possam ser removidos ou alterados.
Os operadores da Abcbot também estão examinando o sistema-alvo em busca de vulnerabilidades específicas e brechas de segurança, Incluindo:
SSH senhas fracas
Vulnerabilidade no produto Oracle WebLogic Server do Oracle Fusion Middleware (CVE-2020-14882)
Redis acesso não autorizado ou senhas fracas
Acesso não autorizado ao PostgreSQL ou senha fraca
Senha fraca do SQLServer
Acesso não autorizado ao MongoDB ou senha fraca
Protocolo de transferência de arquivos (FTP) senha fraca
O objetivo final da operação é eliminar os mineiros de criptomoedas, que são considerados os payloads mais implantados no Linux. Os pesquisadores da Trend Micro entraram em contato com a Huawei Media Team com suas descobertas antes de sua publicação, e atualmente aguardam o reconhecimento ou resposta da empresa.
Em outubro 2021, pesquisadores descobriram uma nova, malware nunca visto anteriormente família voltada para sistemas Linux. Apelidado de FontOnLake por pesquisadores da ESET, e HCRootkit da Avast e Lacework, o malware tem recursos de rootkit, design avançado e baixa prevalência, sugerindo que se destina principalmente a ataques direcionados.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: