0
0
O malware recém-descoberto usa o GitHub e o Pastebin para abrigar o código de componentes, e abriga 12 vetores de ataque iniciais diferentes.
Pesquisadores descobriram um novo worm direcionado a servidores x86 baseados em Linux, bem como dispositivos de internet das coisas Linux (IoT) (que são baseados em CPUs ARM e MIPS).
Note-se que o malware utiliza o GitHub e o Pastebin para abrigar código de componentes maliciosos, e tem pelo menos 12 módulos de ataque diferentes disponíveis – levando os pesquisadores a chamá-lo de “Gitpaste-12”. Foi detectado pela primeira vez pela Juniper Threat Labs em ataques em 15 de outubro de 2020.
“Nenhum malware é bom de se ter, mas os worms são particularmente irritantes”, disseram pesquisadores do Juniper Threat Labs em um post de quinta-feira. “Sua capacidade de se espalhar de forma automatizada pode levar à disseminação lateral dentro de uma organização ou aos seus anfitriões que tentam infectar outras redes na internet, resultando em má reputação para sua organização.”
A primeira fase do ataque é o compromisso inicial do sistema. Os vários módulos de ataque do malware incluem 11 vulnerabilidades divulgadas anteriormente. Isso inclui falhas em Apache Struts (CVE-2017-5638), roteadores Asus (CVE-2013-5948), webadmin plugin para opendreambox (CVE-2017-14135) e roteadores Tenda (CVE-2020-10987).
O malware tentará usar explorações conhecidas para essas falhas para comprometer sistemas e também pode tentar forçar senhas bruscas, disseram os pesquisadores. Depois de comprometer um sistema, um script shell principal é então carregado para a máquina da vítima, e começa a baixar e executar outros componentes do Gitpaste-12.
O Malware
Este script configura um trabalho de cron que ele baixa do Pastebin. Um trabalho de cron é um programador de trabalho baseado no tempo em sistemas operacionais de computador semelhantes ao Unix. O trabalho de cron chama um script e executa-o novamente a cada minuto; os pesquisadores acreditam que este script é presumivelmente um mecanismo pelo qual as atualizações podem ser empurradas para a botnet.
Em seguida, ele baixa um script do GitHub (https://raw[.] githubusercontent[.] com/cnmnmsl-001/–master/shadu1) e executa-o. O script contém comentários no idioma chinês e tem vários comandos disponíveis para os atacantes desativarem diferentes recursos de segurança. Estes incluem a remoção das defesas do sistema, incluindo regras de firewall, selinux (uma arquitetura de segurança para sistemas LinuxR), apparmor (um módulo de segurança do kernel Linux que permite ao administrador do sistema restringir os recursos dos programas), bem como software comum de prevenção e monitoramento de ataques.
O malware também tem alguns comandos que desabilitam agentes de segurança na nuvem, “o que indica claramente que o ator de ameaças pretende atingir a infraestrutura pública de computação em nuvem fornecida pelo Alibaba Cloud e pela Tencent”, disseram os pesquisadores.
O Gitpaste-12 também possui comandos que permitem executar um criptominer que tem como alvo a criptomoeda Monero.
“Também impede que os administradores colevam informações sobre processos em execução, interceptando chamadas do sistema ‘readdir’ e ignorando diretórios para processos como tcpdump, sudo, openssl, etc. em ‘/proc'”, disseram os pesquisadores. “O diretório ‘/proc’ no Linux contém informações sobre processos em execução. É usado, por exemplo, pelo comando ‘ps’ para mostrar informações sobre processos em execução. Mas, infelizmente, para este ator de ameaça, essa implementação não faz o que eles esperam que ele faça.”
Finalmente, o malware também contém uma biblioteca (hide.so) que é carregada como LD_PRELOAD, que baixa e executa arquivos Pastebin )https://pastebin[.] com/raw/Tg5FQHhf) que hospedam mais código malicioso.
Os pesquisadores disseram que relataram a URL do Pastebin, bem como o repo Git mencionado acima que baixa scripts maliciosos para o malware. O repo git foi fechado em 30 de outubro de 2020. “Isso deve impedir a proliferação dessa botnet”, disseram os pesquisadores.
Características wormable
Em termos de suas capacidades de worming, o Gitpaste-12 também contém um script que lança ataques contra outras máquinas, na tentativa de replicar e espalhar o malware.
“O malware escolhe um CIDR aleatório /8 para ataque e tentará todos os endereços dentro desse intervalo”, de acordo com os pesquisadores. O CIDR (Classless Inter-Domain Routing, roteamento inter-domínio) é um método para alocar endereços IP e roteamento ip – o que significa que o ataque tem como alvo todos os endereços IP dentro do alcance aleatório do CIDR.
Outra versão do script também abre portas 30004 e 30005 para comandos de shell reverso, disseram os pesquisadores. A Porta 30004 utiliza o Protocolo de Controle de Transmissão (TCP), que é um dos principais protocolos em redes TCP/IP; enquanto a porta 30005 é um protocolo bidirecional baseado em SOAP/HTTP, que fornece comunicação entre dispositivos como roteadores ou switches de rede e servidores de configuração automática.
Os worms podem ter um impacto generalizado, como visto em uma campanha de 2019 que explorou uma vulnerabilidade no agente de transporte de correio Exim (MTA) para obter execução remota de comando nos sistemas Linux das vítimas, usando uma exploração wormable. Os pesquisadores disseram que atualmente mais de 3,5 milhões de servidores estavam em risco com os ataques.
Vários novos worms surgiram em 2020 até agora, incluindo o worm Golang, que visa instalar criptominers, e recentemente mudou suas táticas para adicionar ataques aos servidores Windows e um novo pool de explorações ao seu saco de truques.
Em agosto, um worm de criptominação do grupo conhecido como TeamTNT foi encontrado se espalhando pela nuvem da Amazon Web Services (AWS) e coletando credenciais. Uma vez que os logins são colhidos, o malware faz login e implanta a ferramenta de mineração XMRig para minerar a criptomoeda Monero.
FONTE: THREATPOST