0
0
Um botnet e worm peer-to-peer (P2P) chamado Panchan tem violado ativamente os servidores Linux e coletado chaves Secure Shell (SSH) para realizar movimentos laterais – às vezes credenciais de força brutais.
Isso é de acordo com pesquisadores da Akamai, que descobriram o botnet no final de março. Escrito em Golang, ele analisa chaves privadas SSH locais e hosts conhecidos em cada vítima (usando um dicionário estático), depois os usa para se espalhar ainda mais.
Embora possa usar o botnet para qualquer coisa, Panchan está focado em um jogo final de cryptojacking por enquanto.
“É principalmente um cryptojacker, então não acho que seja tão perigoso. Mas é único”, diz o pesquisador da Akamai, Stiv Kupchik. “A comunicação P2P não é tão comum em malware, e a coleta de chaves SSH também parece bastante nova. Além disso, acho que nunca vi um ator de ameaças japonês.”
Acredita-se que o malware tenha origem japonesa (o nome é uma possível referência a Panchan Rina, o kickboxer japonês) e se concentra em atacar provedores de educação em telecomunicações na Ásia, Europa e América do Norte.
Da perspectiva de Kupchik, a educação era provavelmente uma vertical altamente direcionada por causa do aspecto de coleta de chaves SSH da botnet.
“Eu vi alguns institutos de vítimas que estavam no mesmo país, ou muito próximos geograficamente”, diz ele. “Acho que as colaborações acadêmicas entre institutos podem produzir uma porcentagem maior de chaves SSH compartilhadas do que em outras verticais, então talvez esse seja o motivo.”
Recursos exclusivos da Botnet
O malware — que implanta dois mineiros, XMrig e nbhash, tem um punhado de recursos técnicos exclusivos, de acordo com os pesquisadores da Akamai. Por um lado, ele usa o NiceHash para suas piscinas de mineração e carteiras. Como o Nicehash é uma carteira regular (usando certos endereços Bitcoin definidos para depósitos) e não uma carteira blockchain, a Akamai não conseguiu ver os detalhes da transação e da mineração para estimar a receita real que Panchan ganhou.
Além disso, para dificultar a rastreabilidade, os criptomineradores são descartados como arquivos mapeados em memória sem qualquer presença de disco, e a criptomineração pode ser encerrada se algum monitoramento de processo for detectado.
Há também um recurso de “godmode” in adiado no malware, na forma de um painel de administração que pode editar a configuração de mineração – outra característica única do Panchan, de acordo com a empresa.
Derrotando Panchan
Como o malware usa uma lista básica de senhas padrão para se espalhar, Kupchik diz que uma das principais etapas que as equipes de segurança podem tomar para impedir o malware em suas trilhas é através do endurecimento de senhas.
“O dicionário que o malware usa para se espalhar é extremamente básico, então qualquer senha não padrão deve ajudar a frustrá-lo”, explica ele. “A segmentação e o controle de acesso podem ajudar a mitigar o risco de coleta de chaves SSH, e o MFA também pode ajudar.”
Ele acrescenta que a Akamai publicou indicadores de compromisso, consultas, assinaturas e scripts que as organizações podem usar para testar a infecção.
O relatório também recomenda o monitoramento contínuo dos recursos da máquina virtual. O monitoramento pode alertar as equipes de segurança para atividades suspeitas, já que botnets focadas em cryptojacking podem elevar o uso de recursos da máquina a níveis anormais.
“No caso de Panchan, o monitoramento do uso de recursos também teria encerrado completamente a mineração de criptografia”, de acordo com o relatório.
FONTE: DARK READING