Nueva botnet peer-to-peer infecta servidores Linux con criptomineros

Una nueva botnet peer-to-peer llamada Panchan apareció en la naturaleza alrededor de marzo de 2022, apuntando a servidores Linux en el sector educativo para extraer criptomonedas.

Panchan está facultado con funciones de gusanos SSH como ataques de diccionario y abuso de claves SSH para realizar un movimiento lateral rápido a las máquinas disponibles en la red comprometida.

Al mismo tiempo, tiene poderosas capacidades para evitar la detección, como el uso de mineros mapeados en memoria y la detección dinámica del monitoreo del proceso para detener el módulo de minería de inmediato.

Según Akamai, cuyos analistas detectaron la nueva amenaza y la analizaron en un informe compartido con Bleeping Computer, lo más probable es que el actor de amenazas detrás de este nuevo proyecto sea japonés.

La operación Panchán

Panchan fue escrito en Golang, un lenguaje de programación versátil que facilita la orientación a diferentes arquitecturas de sistemas.

Infecta nuevos hosts localizando y usando claves SSH existentes o nombres de usuario y contraseñas de fuerza bruta. Después de tener éxito en esta etapa, crea una carpeta oculta para ocultarse dentro con el nombre "xinetd".

Finalmente, el malware ejecuta el binario e inicia una operación HTTPS POST a un webhook de Discord, que probablemente se use para monitorear a la víctima.

Para establecer la persistencia, el malware se copia a sí mismo en "/bin/systemd-worker" y crea un nuevo servicio systemd para iniciar después de reiniciar mientras se hace pasar por un servicio de sistema legítimo.

La comunicación entre la botnet y el C2 no está cifrada y utiliza el puerto TCP 1919. Las configuraciones enviadas al malware se refieren a la configuración del minero o a la actualización de la lista de pares.

El malware también presenta un "modo dios", un panel de administración al que se puede acceder usando una clave privada que solo poseen los adversarios.

Akamai modificó el programa para eliminar esta medida de seguridad y descubrió que el panel de administración presenta una descripción general de la configuración, el estado del host, las estadísticas de los pares y la configuración del minero, mientras que también brinda a los operadores opciones de actualización.

admin-panel

Los binarios mineros, xmrig y nbhash, no tienen archivos, se decodifican desde su forma base64 y se ejecutan durante el tiempo de ejecución en la memoria, por lo que nunca tocan el disco.

Panchan usa NiceHash para sus carteras y pools de minería, por lo que los analistas de Akamai no pudieron rastrear transacciones ni estimar el tamaño de la operación de minería, las ganancias, etc., ya que no están en una cadena de bloques pública .

El malware también cuenta con un sistema anti-kill que detecta las señales de finalización del proceso y las ignora a menos que sea SIGKILL el que no se maneje.

Objetivos e impacto

Akamai realizó ingeniería inversa del malware para mapearlo y encontró 209 sistemas comprometidos, 40 de los cuales están actualmente activos.

heatmap(k

La mayoría de las víctimas están en el sector de la educación, probablemente porque coincide con los métodos de difusión de Panchan y facilita su rápido crecimiento.

La higiene deficiente de las contraseñas y el intercambio excesivo de claves SSH para adaptarse a las colaboraciones de investigación académica internacional crean las condiciones ideales para que prolifere la red de bots.

Esta hipótesis está respaldada por los hallazgos de grupos de universidades infectadas en España, Taiwán y Hong Kong.

El impacto se relaciona con el secuestro de recursos, que en los institutos educativos podría impedir el trabajo de investigación o interferir con la prestación de varios servicios de cara al público.

Para evitar este tipo de ataques, Akamai sugiere que los posibles objetivos utilicen contraseñas complejas, agreguen MFA en todas las cuentas, limiten el acceso SSH y supervisen constantemente la actividad de los recursos de las máquinas virtuales.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies