コンテンツにスキップするには Enter キーを押してください

PumaBotが最新のボットネットキャンペーンでLinuxデバイスを標的に

投稿日 2025年5月30日

水中で遠くを見ているピューマ

出典: Alexandria via Alamy Stock Photo

「PumaBot」と名付けられた新しいGoベースのLinuxボットネットが、Internet of Things(IoT)デバイスを標的にしていることが観察されています。

PumaBotは、インターネットをスキャンする代わりに、コマンドアンドコントロール(C2)サーバーからターゲットのリストをリモートで取得し、SSHクレデンシャルをブルートフォース攻撃することで、典型的なボットネットとは異なります。

Linuxデバイスへのアクセスを得ると、マルウェアはリモートコマンドを受け取り、システムサービスファイルを使用して永続性を確立します、とDarktraceのセキュリティ研究者は述べています。

PumaBot対Pumatronix

マルウェアが最初にC2サーバーからIPアドレスのリストを取得すると、SSHポートが開いている可能性が高いデバイスを選びます。その後、C2から取得したクレデンシャルを使用して、ポート22でブルートフォースログインを試みます。

“trySSHLogin()内で、マルウェアはいくつかの環境フィンガープリンティングチェックを行います,” 研究者たちはブログ投稿で書きました。”これらは、ハニーポットや制限されたシェルなどの不適切な実行環境を避けるために使用されます。”

これに加えて、PumaBotマルウェアは監視および交通カメラシステムを製造するPumatronixの存在も確認します。研究者たちは、マルウェアが特定のデバイスを回避しようとしているか、あるいはIoTデバイスを潜在的に標的にしていることを示唆しています。

マルウェアが環境のチェックを完了すると、”uname -a”を実行して、被害者のIPアドレス、ポート、ユーザー名、OS名、カーネルバージョン、アーキテクチャなどの情報を収集し、JSONペイロードでC2に報告します。

関連記事:『Haozi』ギャングがアマチュア向けにターンキー型フィッシングツールを販売

その後、マルウェアは”/lib/redis”に自身を書き込み、正当なRedisシステムファイルを装って他者を欺こうとします。

研究者たちはまた、PumaBotがユーザーの認証済みキーのファイルに独自のSSHキーを追加し、サービスが削除されてもアクセスを維持できるようにしていることを発見しました。また、「Linuxシステムを標的にした広範なキャンペーンの一部と思われる関連バイナリ」も見つかりました。

より広範なLinuxキャンペーン

これらの関連バイナリは「ddaemon」、「networkxm」、「Pam_unix.so_v131」、および「1」という名前で知られています。

DdaemonはGoベースのバックドアであり、networkxmはSSHブルートフォースツールとして機能し、研究者たちはボットネットに似ていると指摘しています。

“最初にMD5ハッシュを使用して自身の整合性をチェックし、C2サーバー(db.17kp[.]xyz)に連絡して最新バージョンとハッシュを比較します,” と研究者たちは書きました。”更新が見つかると、ダウンロードして自身を置き換えます。”

Pam_unix.so_v131はルートキットとして機能し、成功したログインを中断することでクレデンシャルを盗みます。それは「con.txt」が書き込まれるか/usr/bin/に移動されるのを監視するためにinotifyを使用して悪意のあるPAMファイルの監視者として機能する「1」というバイナリと連携して動作します。

関連記事:ご意見をお聞かせください: Dark Readingがあなたの意見を求めています

ユーザーのログインクレデンシャルを取得すると、それが有効であることを確認してから情報をファイルに保存します。

Linux IoTデバイスの保護

Darktraceによると、このボットネットは従来のワームのように自動的に拡散するわけではないようですが、ターゲットをブルートフォース攻撃することで「ワームのような行動」を取ります。これは、ボットネットキャンペーンが半自動化されている可能性を示しています。

脅威を軽減するために、研究者たちはLinux IoTデバイスを保護するためのいくつかの推奨事項を提供しています。まず、異常なSSHログイン活動、たとえばIPアドレスの範囲にわたる大量のログイン失敗を監視することから始めます。追加の推奨事項には、Linuxデバイスのsystemdサービスを定期的に監査すること、ユーザーアカウント内の認証済みキーを未知のSSHキーについて調査すること、データの流出や悪意のあるC2リソースとの通信を示す可能性のある非標準ヘッダーを持つアウトバウンドHTTPリクエストをフィルタリングまたはアラートを作成することが含まれます。

最新のDark Reading Confidentialポッドキャストをお見逃しなく最もありえない場所でAPTグループを発見した日、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックや途中で発見した驚きについての話を共有します。今すぐ聴く!

関連記事:ZscalerがRed Canaryの買収契約を発表

翻訳元: https://www.darkreading.com/threat-intelligence/pumabot-targets-linux-devices-botnet-campaign

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です