Darktrace ontdekt nieuw botnet dat zich richt op IoT-bewakingsapparaten

PumaBot illustreert een zorgwekkende trend waarin cybercriminelen steeds gerichtere campagnes opzetten om IoT-apparaten en accounts te compromitteren. Met als gevolg mogelijk enorme maatschappelijke chaos als aanvallers daadwerkelijk weten binnen te komen in bijvoorbeeld verkeerssystemen.

De aanvalsketen

In tegenstelling tot typische botnets die het hele internet scannen, haalt deze malware een lijst met doelwitten op van een command-and-control (C2)-server. Vervolgens probeert deze met brute force-aanvallen inloggegevens te kraken. Zodra het een geldige login identificeert, logt het in, implementeert het zichzelf en start het replicatieproces.

Zodra de malware het netwerk heeft gekraakt, vermomt het zich als legitieme software om detectie te voorkomen terwijl het zich verspreidt naar nieuwe doelwitten. Dit doet het bijvoorbeeld door verschillende fingerprintcontroles uit te voeren. Bij dit soort controles worden gegevens over de omgeving van een gebruiker verzameld en geanalyseerd om een uniek profiel of ‘vingerafdruk’ te creëren. Deze vingerafdruk kan onder meer gebruikt worden voor het verifiëren van de identiteit van de gebruiker. De informatie uit deze fingerprintcontroles wordt vervolgens gebruikt om honeypots - een valstrik waar aanvallers naartoe geleid worden - en ongeschikte uitvoeringsomgevingen te vermijden. Daarnaast creëren aanvallers verschillende backdoors waardoor hun activiteit nog lastiger geïdentificeerd kan worden. Dit wijst op een doelbewuste campagne voor langdurige toegang tot deze systemen die de openbare veiligheid kunnen beïnvloeden.

Conclusie

Dit botnet vertegenwoordigt een aanhoudende Secure Shell (SSH)-dreiging die gebruikmaakt van automatisering, brute force-aanvallen en native Linux-tools om controle te krijgen en te behouden over gecompromitteerde systemen. Daarnaast kan het detectie effectief omzeilen door legitieme binaire bestanden na te bootsen en fingerprinting-logica in te bouwen.

Hoewel PumaBot zich niet automatisch lijkt te verspreiden zoals een traditionele worm, vertoont het wel wormachtig gedrag omdat de malware zichzelf wel repliceert en als doel heeft meerdere apparaten te compromitteren. Dit wijst op een semi-geautomatiseerde botnetcampagne gericht op het compromitteren van apparaten en toegang op de lange termijn.

Organisaties die zichzelf tegen dit soort campagnes willen beschermen, kunnen de volgende maatregelen nemen:

Controleer op afwijkende SSH-inlogactiviteiten, met name mislukte inlogpogingen over een breed IP-bereik, wat kan wijzen op brute force-pogingen.

Controleer regelmatig de services van systemen. Zoek naar verdachte vermeldingen in /etc/systemd/system (bijvoorbeeld verkeerd gespelde of dubbele services zoals mysql.service) en binaire bestanden op niet-standaardlocaties zoals /lib/redis.

Controleer de bestanden met authorized_keys van gebruikersaccounts op onbekende SSH-sleutels die ongeautoriseerde toegang mogelijk maken.

Filter op, of waarschuw bij uitgaande HTTP-verzoeken met niet-standaard headers, zoals X-API-KEY: jieruidashabi. Dit kan wijzen op botnet C2-communicatie.

Pas strikte firewallregels toe om de blootstelling van SSH te beperken in plaats van port 22 bloot te stellen aan het internet.

Lees hier de volledige Engelse blog voor meer details over de waarnemingen van Darktrace.