Devis de remise multi-licences
Données concernant les menaces Botnets Botnet PumaBot

Botnet PumaBot

Par Mezo en Botnets
Se traduisent par :

Un botnet Linux récemment découvert, baptisé PumaBot, sème la pagaille sur les objets connectés embarqués. Développé en Go, ce malware utilise des méthodes de force brute pour pirater les identifiants SSH et déployer des charges utiles malveillantes une fois l'accès obtenu. Contrairement aux botnets traditionnels qui scannent Internet sans distinction, PumaBot cible des adresses IP spécifiques récupérées directement depuis son serveur de commande et de contrôle (C2).

Ciblage de précision : un changement tactique dans l’exploitation de l’IoT

PumaBot se distingue par l'extraction de listes d'adresses IP ciblées depuis son serveur C2 (ssh.ddos-cc.org), ce qui lui permet de mener des attaques très ciblées. Cette approche évite les analyses Internet approfondies et suggère une intention de compromettre des organisations ou des appareils spécifiques. Il inspecte même les appareils à la recherche de la chaîne « Pumatronix », un indice pouvant indiquer le ciblage des systèmes de surveillance et de caméras de circulation de ce fournisseur.

De la reconnaissance à l’enracinement : le cycle d’attaque de PumaBot

Une fois l'appareil sélectionné, PumaBot effectue des tentatives de connexion SSH par force brute sur le port 22. En cas de succès, il exécute « uname -a » pour collecter les informations système et vérifier que l'appareil n'est pas un honeypot. Après cette vérification, le botnet :

  • Écrit son binaire principal (jierui) dans /lib/redis
  • Installe un service systemd persistant (redis.service)
  • Injecte sa propre clé SSH dans authorized_keys pour un accès à long terme, même après les nettoyages du système

Au-delà de l’infection : exécution de commandes et vol de données

Avec un accès sécurisé, PumaBot peut exécuter d'autres commandes, notamment :

  • Déploiement de nouvelles charges utiles
  • Exfiltration de données sensibles
  • Faciliter les mouvements latéraux au sein des réseaux
  • Les charges utiles détectées incluent :
  • Scripts de mise à jour automatique
  • Rootkits PAM qui remplacent pam_unix.so
  • Un démon binaire (nommé 1) agissant comme un observateur de fichiers

Le module PAM malveillant enregistre les identifiants SSH et les stocke dans le fichier con.txt. Le binaire 1 surveille ce fichier et, une fois trouvé, l'exfiltre vers le serveur C2 avant de l'effacer du système infecté, une manœuvre calculée pour brouiller les pistes.

Portée inconnue, enjeux élevés : l’expansion silencieuse de PumaBot

Les chercheurs n'ont pas encore déterminé l'ampleur ni le taux de réussite de la campagne de PumaBot. L'étendue des listes d'adresses IP ciblées reste incertaine. Cependant, le fait que le botnet privilégie l'infiltration en profondeur des réseaux, plutôt que des activités de faible envergure comme les attaques DDoS, suggère qu'il représente une menace importante pour les entreprises et les infrastructures critiques.

Gardez une longueur d’avance : se défendre contre PumaBot et ses semblables

Pour réduire le risque de compromission par PumaBot ou des menaces similaires :

  • Mettre à jour le firmware sur tous les appareils IoT
  • Modifier les informations d'identification par défaut
  • Déployer des pare-feu et restreindre l'accès SSH
  • Isoler les appareils IoT sur des réseaux segmentés

Les pratiques de sécurité proactives sont essentielles pour tenir à distance les acteurs du botnet et protéger les réseaux d’entreprise contre les violations plus profondes.

Tendance

Le plus regardé

Chargement...