Исследование Darktrace выявило новую угрозу для систем видеонаблюдения: скрытый ботнет на базе Go, который целенаправленно взламывает устройства под управлением Linux, избегая массового сканирования сети.
Описание
Механизм атаки
PumaBot получает список целевых IP-адресов с сервера управления ssh.ddos-cc[.]org и атакует открытые SSH-порты методом перебора учетных данных. После успешного взлома устройств (включая оборудование Pumatronix для видеонаблюдения) ботнет внедряется в систему, маскируясь под легитимный файл /lib/redis. Для обеспечения постоянного доступа он создает скрытую службу redis.service или mysqI.service через systemd и прописывает свои SSH-ключи в authorized_keys.
Многоуровневая инфраструктура
Атака включает несколько взаимосвязанных компонентов. Первичный загрузчик jierui (MD5: cab6f908f4dedcdaedcdd07fdc0a8e38) проверяет окружение на наличие целевых систем. Бэкдор ddaemon (MD5: 48ee40c40fa320d5d5f8fc0359aa96f3) загружает скрипт installx.sh, который заменяет модуль аутентификации PAM на вредоносную версию pam_unix.so (MD5: 1bd6bcd480463b6137179bc703f49545). Этот модуль перехватывает логины и пароли, сохраняя их в скрытый файл /usr/bin/con.txt. Специальный модуль 1 (MD5: cb4011921894195bcffcdf4edce97135) отправляет украденные данные на сервер dasfsdfsdfsdfasfgbczxxc[.]lusyn[.]xyz, параллельно удаляя следы активности.
Ключевые угрозы
Главная опасность PumaBot — скрытность и долгосрочный доступ. Подмена PAM позволяет злоумышленникам перехватывать новые учетные данные даже после смены паролей. Ботнет также развертывает скрытые майнинговые модули (через команды xmrig и networkxm), а его связь с серверами 17kp[.]xyz и lusyn[.]xyz указывает на масштабную инфраструктуру.
Рекомендации для защиты
Для предотвращения атак необходимо запретить SSH-доступ с публичных IP, использовать VPN и ключевую аутентификацию вместо паролей. Критически важно контролировать целостность системных файлов (особенно pam_unix.so и /lib/redis), отслеживать создание подозрительных служб systemd (например, mysqI.service) и блокировать обращения к доменам ddos-cc[.]org, lusyn[.]xyz и их субдоменам. Регулярный аудит процессов, обращающихся к SSH-портам, также снизит риски.
Эксперты подчеркивают: PumaBot демонстрирует тренд на целевые атаки IoT через легитимные сервисы, требуя усиления мониторинга аутентификации и сетевой активности.
Индикаторы компрометации
URLs
- http://1.lusyn.xyz
- http://1.lusyn.xyz/jc/1
- http://1.lusyn.xyz/jc/aa
- http://1.lusyn.xyz/jc/cs
- http://1.lusyn.xyz/jc/jc.sh
- http://dasfsdfsdfsdfasfgbczxxc.lusyn.xyz/api
- http://dasfsdfsdfsdfasfgbczxxc.lusyn.xyz/jc
- http://ssh.ddos-cc.org:55554
- http://ssh.ddos-cc.org:55554/get_cmd
- http://ssh.ddos-cc.org:55554/log_success
- http://ssh.ddos-cc.org:55554/pwd.txt
- https://db.17kp.xyz/
- https://dow.17kp.xyz/
- https://input.17kp.xyz/
MD5
- 0e455e06315b9184d2e64dd220491f7e
- 1bd6bcd480463b6137179bc703f49545
- 48ee40c40fa320d5d5f8fc0359aa96f3
- a9412371dc9247aa50ab3a9425b3e8ba
- cab6f908f4dedcdaedcdd07fdc0a8e38
- cb4011921894195bcffcdf4edce97135
ssh-rsa
- AAAAB3NzaC1yc2EAAAADAQABAAABAQC0tH30Li6Gduh0Jq5A5dO5rkWTsQlFttoWzPFnGnuGmuF+fwIfYvQN1z+WymKQmX0ogZdy/CEkki3swrkq29K/xsyQQclNm8+xgI8BJdEgTVDHqcvDyJv5D97cU7Bg1OL5ZsGLBwPjTo9huPE8TAkxCwOGBvWIKUE3SLZW3ap4ciR9m4ueQc7EmijPHy5qds/Fls+XN8uZWuz1e7mzTs0Pv1x2CtjWMR/NF7lQhdi4ek4ZAzj9t/2aRvLuNFlH+BQx+1kw+xzf2q74oBlGEoWVZP55bBicQ8tbBKSN03CZ/QF+JU81Ifb9hy2irBxZOkyLN20oSmWaMJIpBIsh4Pe9