Spesquisadores egurança no Intezer Labs e um pesquisador indivíduo chamado MalwareMustDie descobriram uma nova cepa de malware que afeta servidores baseados em Linux e dispositivos da Internet das coisas. Os relatórios sugerem que a botnet é de origem chinesa e tem como alvo os usuários root.
O que diferencia o Kaiji de outros malwares é que ele é desenvolvido usando a linguagem de programação Go, em vez de C ou C ++, que são os idiomas mais comuns para a programação de tipos de malware.
Malware baseado na linguagem de programação Go é uma ocorrência rara, pois a maioria dos operadores de malware usa projetos gratuitos de C e C ++ disponíveis no Github para desenvolver malware. Desenvolver malware do zero usando a linguagem Go é uma tarefa tediosa.
De acordo com Paul Litvak, da Intezer, “ o ecossistema de botnet da Internet das Coisas (IoT) é relativamente bem documentado por especialistas em segurança. Não é sempre que você vê as ferramentas de uma botnet escritas do zero . ”
Kaiji tem como alvo portas SSH expostas
Guys, another new #China (#PRC) made #DDoS #ELF #malware, I called it: "#Linux/Kaiji", coded in #Go lang, packed, VT low detection=1. You may want to block #C2 at:
1[.]versionday[.]xyz at 66[.]11[.]125[.]66 (at 66.11.125.0/24)
Good for ur @radareorg REvirustotal.com/gui/file/73eeb…
90 people are talking about this
Um relatório de analistas de segurança sugere que a botnet ainda não está avançada o suficiente para explorar dispositivos não corrigidos. Kaiji usa um ataque de força bruta para atingir dispositivos IoT e servidores Linux que têm suas portas SSH expostas na Internet.
A botnet tem como alvo apenas contas raiz porque requer acesso raiz para manipular pacotes de rede brutos para ataques DDoS e outras atividades maliciosas.
Depois que o malware obtém acesso à conta raiz com êxito, ele pode afetar os dispositivos de três maneiras diferentes:
- Realizando ataques DDoS
- Realização de mais ataques de força SSH-Brute contra outros dispositivos
- Roube chaves SSH para se espalhar para outros dispositivos comprometidos no passado
Pesquisadores de segurança revelaram que o Kaiji botnet ainda está em andamento, pois descobriram que ainda não possui recursos e possui seqüências de demonstração em alguns fragmentos de código.
Recentemente, vimos um aumento no número de malwares direcionados aos servidores Linux, e o Kaiji é outro exemplo de autores de malware voltando seu foco para dispositivos Linux e IoT.
Postar um comentário