Gitpaste-12: самоходный Linux-бот, вооруженный десятком эксплойтов

Татьяна Никитина 09 Ноября 2020 - 17:42

Домашние пользователи

...

Исследователи из Juniper Networks обнаружили скриптового Linux-зловреда, обладающего функционалом червя. Анализ показал, что для самораспространения Gitpaste-12, как его нарекли в Juniper, использует брутфорс и эксплойты. Новоявленный бот также умеет загружать дополнительные модули, обращаясь к GitHub и Pastebin.

В поле зрения экспертов Gitpaste-12 впервые попал 15 октября. Судя по коммитам, которые изучили в Juniper, коды нового зловреда появились на GitHub в начале июля. Исследование образцов шелл-скрипта Gitpaste-12 выявило код тестов, свидетельствующий о незавершенности проекта. На настоящий момент вредонос способен атаковать Linux-серверы с архитектурой x86 и IoT-устройства на чипах ARM и MIPS.

За самораспространение бота на другие устройства отвечает один из его модулей. Как показало тестирование, этот скрипт выбирает для атаки произвольный блок адресов /8, выделенный по CIDR (Classless Inter-Domain Routing — метод бесклассовой адресации в сетях на основе IP-протокола), и начинает перебирать все адреса в этом диапазоне. Один из вариантов сценария также открывает порты 30004 и 30005 для получения шелл-команд.

Чтобы загрузить свою копию на целевое устройство, Gitpaste-12 пытается подобрать пароль к Telnet-службе или применяет эксплойт — их в арсенале зловреда больше десятка:

CVE-2017-14135 для расширения WebAdmin к сборке OpenDreamBox;
CVE-2020-24217 для видеокодеров IPTV/H.264/H.265 на чипах производства HiSilicon;
CVE-2017-5638 для фреймворка Apache Struts;
CVE-2020-10987 для роутеров от Tenda;
CVE-2014-8361 для демона Miniigd в составе SDK Realtek;
CVE-2020-15893 для стека UPnP в роутерах D-Link;
CVE-2013-5948 для роутеров Asus;
EDB-ID: 48225 для GPON-роутеров Netlink;
EDB-ID: 40500 для IP-камер AVTECH;
CVE-2019-10758 для веб-интерфейса СУБД MongoDB;
CVE-2017-17215 для WiFi-роутеров HG532 производства Huawei.

Проникнув в целевую систему, Gitpaste-12 подключается к Pastebin и, используя оставленную операторами ссылку, загружает рекурсивный сценарий. Для нового скрипта на устройстве создается cron-задача на выполнение с интервалом в 1 минуту. По словам экспертов, это нужно для получения обновлений через Pastebin.

Затем Gitpaste-12 скачивает с GitHub модуль shadu1 и инициирует его запуск. Назначением этого сценария является устранение возможных помех. Он пытается заблокировать штатные средства защиты системы: правила файрвола, контроль доступа SELinux, модуль безопасности AppArmor и более обычные программы мониторинга / предотвращения атак.

Примечательно, что shadu1 способен также по команде отключать приложения-агенты, обеспечивающие защиту облачных сред. В коде скрипта обнаружены комментарии на китайском языке. С учетом этих находок исследователи предположили, что авторы Gitpaste-12 намерены с его помощью атаковать облачную инфраструктуру Alibaba и Tencent. Их конечной целью может являться добыча Monero за счет чужих мощностей: судя по содержимому конфигурационного файла, зловред умеет запускать криптомайнер XMRig.

Поскольку Gitpaste-12 был обнаружен недавно, он пока плохо детектируется антивирусами из коллекции VirusTotal. Благодаря вмешательству Juniper ссылки на Pastebin, ассоциируемые с ботом, были удалены, а Git-репозиторий со зловредными файлами закрыли.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.