29/05/25
По данным экспертов Darktrace, этот инструмент, созданный на языке Go, нацелен на подбор учётных данных для доступа по SSH и способен разворачивать дополнительное вредоносное ПО на заражённых системах.
В отличие от обычных сканеров, ботнет не ищет жертвы в Интернете, а получает готовый список IP-адресов от управляющего сервера, пишет Securitylab. Далее он последовательно пытается подобрать логины и пароли для SSH-доступа, осуществляя взлом и закрепляясь в системе. После получения контроля ботнет собирает базовую информацию об устройстве и пересылает её обратно на управляющий сервер.
Среди дополнительных проверок — попытки определить, не является ли система ловушкой, а также поиск строки «Pumatronix», что может свидетельствовать либо о прицельной атаке на производителя камер видеонаблюдения, либо об исключении таких устройств из списка целей.
Для маскировки вредонос записывает себя в директорию, связанную с легитимным Redis, и создаёт устойчивую службу systemd. Имя службы может быть как «redis.service», так и «mysqI.service», где вместо буквы «l» намеренно подставлена заглавная «I». Такое поведение позволяет сохранять устойчивость после перезагрузки и снижает подозрения при поверхностном анализе.
Основные действия PumaBot связаны с несанкционированным майнингом криптовалюты. Запускаемые команды вроде «xmrig» и «networkxm» указывают на использование вычислительных ресурсов заражённых устройств в этих целях. Однако команды выполняются без явного указания путей, что говорит о загрузке или распаковке исполняемых файлов в других местах системы.
Специалисты выявили и другие компоненты ботнета, работающие в рамках одной кампании. Среди них — бэкдор «ddaemon», который загружает бинарник «networkxm» и запускает скрипт установки; инструмент перебора SSH-доступа «networkxm», использующий список паролей от управляющего сервера; «installx.sh», предназначенный для запуска другого скрипта «jc.sh» и очистки истории терминала; «jc.sh», подменяющий системную библиотеку «pam\_unix.so» на вредоносную версию с целью перехвата паролей и загрузки бинарника «1»; и, наконец, сам «1», следящий за появлением файла с перехваченными логинами и отправляющий его содержимое на удалённый сервер.
