Categoria: Linux

Hackers infectam servidores Linux SSH com botnet Tsunami

Um operador de ameaça desconhecido está forçando servidores Linux SSH a instalar uma ampla variedade de malware, incluindo a botnet para ataque distribuído de negação de serviço (DDoS) Tsunami, o ShellBot, limpadores de log, ferramentas de escalonamento de privilégios e um minerador de moedas XMRig (Monero), de acordo com o AhnLab Security Emergency Response Center (ASEC), que monitora ameaças de e-mail de phishing.

SSH (Secure Socket Shell) é um protocolo de comunicação de rede criptografado para fazer login em máquinas remotas, suporte a tunelamento, encaminhamento de porta TCP, transferências de arquivos, etc. Os administradores de rede geralmente usam o SSH para gerenciar dispositivos Linux remotamente, executando tarefas como executar comandos, alterar a configuração, atualizar o software e solucionar problemas. No entanto, se esses servidores forem mal protegidos, eles podem ficar vulneráveis a ataques de força bruta, permitindo que os agentes de ameaças experimentem várias combinações potenciais de nome de usuário e senha até que uma correspondência seja encontrada.

Fonte: Ciso Advisor

O malware Lemon_Duck cryptominer agora tem como alvo dispositivos Linux

O malware criptominerante Lemon_Duck foi atualizado para comprometer máquinas Linux por meio de ataques de força bruta SSH, para explorar sistemas Windows vulneráveis ​​a SMBGhost e para infectar servidores que executam instâncias de Redis e Hadoop.

Lemon_Duck (identificado no ano passado pela Trend Micro e examinado posteriormente pela SentinelOne ) é conhecido por ter como alvo redes corporativas, obtendo acesso sobre o serviço MS SQL por meio de força bruta ou o protocolo SMB usando EternalBlue de acordo com Ophir Harpaz da Guardicore.

Procurando por Linux e aplicativos em nuvem: Para encontrar dispositivos Linux que se podem infectar como parte de ataques de força bruta SSH, Lemon_Duck usa um módulo de varredura de porta que procura por sistemas Linux conectados à Internet escutando na porta TCP 22 usada para login remoto SSH. Para se certificar de que também sobreviverá entre as reinicializações do sistema, o malware tentará ganhar persistência adicionando um cron job, em seguida, Lemon_Duck procura mais dispositivos Linux para descartar payloads coletando credenciais de autenticação SSH do arquivo /.ssh/known_hosts.

Fonte: Bleepin

Malware TrickBot agora está infectando sistemas Linux / UNIX

A plataforma de malware Anchor do TrickBot foi portada para infectar dispositivos Linux e comprometer ainda mais alvos de alto impacto e alto valor usando canais secretos.

O TrickBot é alugado por agentes de ameaças que o usam para se infiltrar em uma rede e colher qualquer coisa de valor. Em seguida, ele é usado para implantar ransomware, como Ryuk e Conti, para criptografar os dispositivos da rede como um ataque final.

Chamado Anchor_DNS, o malware é usado em alvos de alto valor e alto impacto com informações financeiras valiosas.
Além das implantações de ransomware por meio de infecções do Anchor, os autores do TrickBot Anchor também o usam como backdoor em campanhas do tipo APT que têm como alvo sistemas de ponto de venda e financeiros.

Com esta evolução do malware TrickBot, é cada vez mais importante que os sistemas Linux e dispositivos IoT tenham proteção e monitoramento adequados para detectar ameaças como Anchor_Linux

Fonte: Bleeping

Malware Lucifer cryptomining DDoS agora tem como alvo sistemas Linux

Uma botnet DDoS híbrido conhecido por transformar dispositivos Windows vulneráveis ​​em bots de criptominação Monero agora também está procurando e infectando sistemas Linux.

Lucifer cryptomining para Linux vem com recursos semelhantes aos do Windows, incluindo módulos projetados para criptojacking e para lançar ataques baseados em TCP, UCP e ICMP

Além disso, os dispositivos Linux infectados por Lucifer também podem ser usados ​​em ataques DDoS baseados em HTTP (incluindo inundações HTTP GET e POST e ataques DDoS HTTP ‘CC’)

A lista completa de ataques DDoS que podem ser iniciados usando dispositivos infectados pelo Lucifer está disponível na tabela abaixo.

Fonte: Bleeping

Malware Drovorub de fabricação russa, direcionado para Linux

“Drovorub é um conjunto de ferramentas de malware Linux que consiste em um implante [cliente] acoplado a um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos e encaminhamento de portas e um servidor de Comando e Controle (C2)” – National Security Agency

Agência de Segurança Nacional está alertando sobre as operações de espionagem do Russian Intelligence Directorate (GRU) usando um conjunto de ferramentas de malware Linux anteriormente não divulgado, chamado Drovorub.

A estrutura maliciosa tem vários módulos que garantem sigilo, persistência e acesso completo à máquina comprometida com os mais altos privilégios.

O lado do cliente do malware pode se comunicar diretamente com a infraestrutura C2 do agente da ameaça, tem recursos de upload / download de arquivos, executa comandos arbitrários com privilégios de ‘raiz’ e pode encaminhar o tráfego de rede para outras máquinas na rede.

De acordo com o relatório, o rootkit é muito bem-sucedido em se esconder em uma máquina infectada e sobrevive a reinicializações “a menos que a inicialização segura UEFI [Unified Extensible Firmware Interface] esteja habilitada no modo” Completo “

Uma das recomendações é habilitar o mecanismo de verificação de inicialização segura UEFI (aplicação completa ou completa), que permite que apenas módulos de kernel legítimos sejam carregados. No entanto, isso não protege contra a vulnerabilidade BootHole divulgada recentemente até que uma atualização DBX permanente surja.

Fonte: Bleeping