Исследователи Aqua Nautilus обнаружили вредоносную программу для Linux, известную как «perfctl», которая за последние несколько лет активно использовала более 20 000 неправильных конфигураций в Linux-серверах.
Perfctl Malware
Эта вредоносная программа очень неуловима и настойчива, использует руткиты, чтобы скрыть свое присутствие, и приостанавливает активность при входе пользователей в систему, возобновляя ее только тогда, когда сервер простаивает. Внутренний обмен данными осуществляется через Unix-сокет, а внешний - через TOR, что затрудняет обнаружение. После проникновения на сервер вредоносная программа удаляет свой оригинальный бинарник, копирует себя под обманчивыми именами и тихо работает в фоновом режиме. Кроме того, вредоносная программа стремится использовать CVE-2021-4034, уязвимость в утилите pkexec от Polkit, для повышения привилегий.
В большинстве случаев вредоносная программа устанавливает криптомайнер, который расходует системные ресурсы, а в некоторых случаях также использует программы для прокси-джекинга. Авторы вредоносного ПО ловко маскируют его, называя его именем легитимных системных процессов, что затрудняет его обнаружение при проверке системы. Основной целью является захват ресурсов, при этом наблюдается связь с пулами криптомайнинга и некоторыми прокси-сервисами.
Indicators of Compromise
IPv4
- 104.183.100.189
- 198.211.126.180
- 211.234.111.116
- 46.101.139.173
Domains
- bitping.com
- earn.fm
- repocket.com
- speedshare.app
MD5
- 656e22c65bf7c04d87b5afbe52b8d800
- 6e7230dbe35df5b46dcd08975a0cc87f
- 835a9a6908409a67e51bce69f80dd58a
- ba120e9c7f8896d9148ad37f02b0e3cb
- cf265a3a3dd068d0aa0c70248cd6325d
- da006a0b9b51d56fa3f9690cf204b99f
