Nieodkryte złośliwe oprogramowanie zamienia serwery Linux i BSD w spamujące botnety

botnety mumblehard

Nowa rodzina złośliwego oprogramowania, nazwana przez badaczy bezpieczeństwa „Mumblehard”, od ponad pięciu lat skutecznie infekuje serwery sieciowe działające w systemach Linux i BSD..

Mimo przesłania do VirusTotal w 2009 r. Złośliwe oprogramowanie pozostało w dużej mierze niezauważone od tego czasu, a jedynie w ciągu ostatnich sześciu miesięcy podwoiło swoją wielkość, co doprowadziło do powstania botnetu zdolnego do rozsiewania ogromnej ilości spamu.

Naukowcy z firmy antywirusowej ESET po raz pierwszy dowiedzieli się o Mumblehard po tym, jak administrator systemu poprosił o pomoc po odkryciu, że jeden z ich serwerów został umieszczony na czarnej liście za wysyłanie spamu.

Od tego czasu ESET monitoruje botnet od kilku miesięcy, odkrywając jego mechanizm dowodzenia i kontroli, a także 8867 unikalnych adresów IP z nim powiązanych, z których 3000 zostało dodanych w ciągu ostatnich trzech tygodni.

Odkryli również, że Mumblehard ma dwa kluczowe elementy – jeden odpowiedzialny za działanie spamu, a drugi działający jako backdoor. Oba komponenty zostały napisane przy użyciu Perla i zawierają ten sam niestandardowy paker napisany w języku asemblera.

W 23-stronicowym raporcie wydanym przez ESET naukowcy napisali:

„Szkodliwe oprogramowanie atakujące serwery Linux i BSD staje się coraz bardziej złożone. Fakt, że autorzy użyli niestandardowego programu pakującego do ukrycia kodu źródłowego Perla, jest dość skomplikowany. Jednak zdecydowanie nie jest tak skomplikowany jak Operacja Windigo, którą udokumentowaliśmy w 2014 roku. Niemniej niepokojące jest to, że operatorzy Mumblehard działają od wielu lat bez zakłóceń. ”

Dalsze dochodzenie w sprawie Mumbleharda wydaje się łączyć je z Yellsoft, firmą sprzedającą DirectMailer, automatyczny system dystrybucji e-maili, który pozwala użytkownikowi na anonimowe wysyłanie wiadomości.

DirectMailer, który jest również napisany w Perlu i działa na systemach typu UNIX, jest dostępny za 240 USD, choć warto zauważyć, że programiści faktycznie prowadzą do strony oferującej pękniętą kopię oprogramowania. Jakby to nie było wystarczająco zacienione, zauważają również, że nie są w stanie zapewnić żadnej pomocy technicznej dla pirackich wersji oprogramowania.

I oto, naukowcy ESET odkryli następnie, że pęknięta kopia oprogramowania zawiera backdoor Mumblehard, co oznacza, że ​​po zainstalowaniu operator botnetu może następnie wysyłać spam i ruch proxy przez zainfekowane urządzenie. Nie wiadomo, czy oficjalna wersja DirectMailer zawiera złośliwe oprogramowanie.

Naukowcy nadal analizują sposób, w jaki Mumblehard instaluje się w systemie, i obecnie uważają, że poza pirackim oprogramowaniem DirectMailer, systemy mogą być również zagrożone, jeśli uruchomią wrażliwą wersję systemów zarządzania treścią Joomla lub WordPress.

Dlatego też porady ESET dla administratorów systemów są oczywiste – aktualizuj systemy operacyjne i aplikacje za pomocą łatek i upewnij się, że korzystasz z oprogramowania zabezpieczającego renomowanego dostawcy.

Administratorzy mogą również zwracać uwagę na niewyjaśnione zadania cron działające na serwerach – Mumblehard używa ich do łączenia się z serwerami dowodzenia i kontroli dokładnie co 15 minut.

Ponadto backdoor zwykle znajduje się w folderach / tmp lub / var / tmp i można go unieważnić, montując te katalogi za pomocą flagi noexec.

Polecane zdjęcie: Derek Quantrell / Public Domain Pictures.net

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me