一種新發現的基于Go的Linux僵尸網絡惡意軟件名為PumaBot，它通過暴力破解嵌入式物聯網設備上的SSH憑證來部署惡意負載。

PumaBot 的針對性也體現在它根據從命令和控制 (C2) 服務器獲取的列表針對特定的 IP 地址，而不是對互聯網進行廣泛的掃描。

瞄準監控攝像頭

Darktrace在一份報告中記錄了PumaBot，該報告概述了僵尸網絡的攻擊流程、入侵指標（IoCs）和檢測規則。惡意軟件從其C2 （ssh.ddos-cc.org）接收目標ip列表，并試圖在端口22上執行暴力登錄嘗試以開放SSH訪問。

在這個過程中，它會檢查“Pumatronix”字符串的存在，這可能與供應商的監控和交通攝像頭系統的目標相對應。

一旦目標被建立，惡意軟件就會接收憑證來針對它們進行測試。如果成功，它運行‘uname -a’來獲取環境信息并驗證目標設備不是蜜罐。

接下來，它將它的主二進制文件（jierui）寫入/lib/redis，并安裝一個systemd服務（redis.service），以確保設備重啟時的持久性。

最后，它將自己的SSH注入到“authorized_keys”文件中以保持訪問，即使在清除了主要感染的情況下也是如此。

當感染處于活躍狀態時，PumaBot可以接收命令，試圖竊取數據，引入新的有效載荷，或竊取橫向移動中有用的數據。

Darktrace看到的有效負載示例包括自我更新腳本、PAM rootkit（替換合法的“pam_unix”）。所以'和daemons（二進制文件“1”）。

惡意PAM模塊獲取本地和遠程SSH登錄詳細信息，并將其存儲在一個文本文件（con.txt）中。“監視者”二進制文件(1)不斷查找該文本文件，然后將其泄露到C2。

在文本文件上寫入憑據

在泄漏之后，文本文件將從受感染的主機上擦除，以刪除惡意活動的任何痕跡。PumaBot的規模和成功概率目前尚不清楚，也沒有資料提到目標IP列表有多廣泛。

這種新型僵尸網絡惡意軟件的特別之處在于，它不是直接利用受感染的物聯網進行分布式拒絕服務（DoS）攻擊或代理網絡等低級網絡犯罪，而是發起有針對性的攻擊，從而為企業網絡的深入滲透開辟了道路。

為了防御僵尸網絡威脅，建議將物聯網升級到最新可用的固件版本，更改默認憑據，將它們置于防火墻之后，并將它們與有價值的系統隔離在單獨的網絡中。

參考及來源：https://www.bleepingcomputer.com/news/security/new-pumabot-botnet-brute-forces-ssh-credentials-to-breach-devices/