Новий варіант шкідливого ПЗ InterPlanetary Storm націлений на пристрої IoT. Заражені пристрої відкривають бекдори для криптомайнінгу, DDoS та інших масштабних атак.
Організація кіберзлочинців, яка стоїть за зловмисним програмним забезпеченням InterPlanetary Storm, випустила новий варіант, який тепер націлений на пристрої Mac і Android на додаток до комп’ютерів Windows і Linux. Зловмисне програмне забезпечення створює ботнет, який наразі включає близько 13.500 84 заражених комп’ютерів у XNUMX різних країнах світу, і це число продовжує зростати.
Після Windows і Linux тепер пристрої IoT
Перший варіант InterPlanetary Storm, націлений на комп’ютери Windows, був виявлений у травні 2019 року, а про варіант, здатний атакувати комп’ютери Linux, було повідомлено в червні цього року. Новий варіант, вперше виявлений дослідниками Barracuda наприкінці серпня, націлений на пристрої IoT, такі як телевізори з операційною системою Android, а також машини на базі Linux, такі як маршрутизатори з погано налаштованим сервісом SSH. Хоча ботнет, який створює це зловмисне програмне забезпечення, ще не має чітких функціональних можливостей, він надає операторам кампанії бекдор до заражених пристроїв, щоб пізніше їх можна було використовувати для криптомайнінгу, DDoS або інших широкомасштабних атак.
Більшість комп’ютерів, заражених шкідливим програмним забезпеченням, наразі знаходяться в Азії.
• 59% заражених комп'ютерів знаходяться в Гонконгу, Південній Кореї та Тайвані.
• 8% в Росії та Україні
• 6% у Бразилії
• 5% у США та Канаді
• 3% у Швеції
• 3% у Китаї
• Усі інші країни реєструють 1% або менше (Німеччина наразі 0,5%)
Як працює нова шкідлива програма InterPlanetary Storm
Новий варіант зловмисного програмного забезпечення InterPlanetary Storm отримує доступ до машин, виконуючи словникову атаку на SSH-сервери, подібно до FritzFrog, іншого зловмисного програмного забезпечення для однорангових мереж (P2P). Він також може отримати доступ, звернувшись до відкритих серверів ADB (Android Debug Bridge). Зловмисне програмне забезпечення знає про архітектуру ЦП і операційну систему своїх жертв і може працювати на машинах на базі ARM, архітектурі, яку досить часто використовують маршрутизатори та інші пристрої IoT. Зловмисне програмне забезпечення отримало назву InterPlanetary Storm, оскільки воно використовує мережу p2p IPFS (InterPlanetary File System) і базову реалізацію libp2p. Це дозволяє зараженим вузлам спілкуватися один з одним напряму або через інші вузли (наприклад, ретранслятори).
Особливості нового варіанту
Цей варіант InterPlanetary Storm написаний на Go, використовує реалізацію Go в libp2p і містить UPX. Він поширюється за допомогою грубої сили SSH і відкритих портів ADB і доставляє файли зловмисного програмного забезпечення на інші вузли в мережі. Зловмисне програмне забезпечення також включає зворотну оболонку та може запускати оболонку bash. Новий варіант має кілька унікальних функцій, розроблених, щоб допомогти зловмисному ПЗ залишатися стійким і захищеним після зараження машини:
- Він розпізнає медовики. Зловмисне програмне забезпечення шукає рядок «svr04» у стандартному запиті оболонки (PS1), який раніше використовувався Cowrie honeypot.
- Оновлюється автоматично. Зловмисне програмне забезпечення порівнює версію запущеного екземпляра з останньою доступною версією та оновлюється відповідно.
- Він намагається бути постійним, встановлюючи службу (system/systemv) за допомогою пакета Go Daemon.
- Він зупиняє інші процеси на машині, які становлять загрозу для зловмисного програмного забезпечення, наприклад налагоджувачі та конкуруючі шкідливі програми.
Заходи захисту від нового варіанту міжпланетного шторму
- Правильна конфігурація доступу SSH на всіх пристроях: це означає, що ключі використовуються замість паролів, що робить доступ більш безпечним. Якщо ввімкнено пароль для входу, а сам сервіс доступний, зловмисне програмне забезпечення може використовувати погано налаштовану поверхню атаки. Це проблема для багатьох маршрутизаторів і пристроїв Інтернету речей, що робить їх легкою мішенню для цього шкідливого програмного забезпечення.
- Використання інструменту керування безпекою в хмарі для моніторингу контролю доступу SSH, щоб уникнути будь-яких помилок конфігурації, які можуть мати серйозні наслідки. При необхідності повинен бути забезпечений безпечний доступ до оболонок; Замість того, щоб піддавати ресурс загрозам в Інтернеті, слід розгорнути VPN-з’єднання з підтримкою MFA і сегментувати мережі для конкретних потреб, а не дозволяти доступ до широких IP-мереж.
Дізнайтеся більше в блозі на Barracuda.com
[starboxid=5]