Na semana passada, o popular pesquisador de segurança MalwareMustDie e os especialistas do Intezer Labs detectaram um novo malware chamado Kaiji, que está alvejando dispositivos IoT através de ataques de força bruta SSH.
O código malicioso foi projetado para direcionar servidores baseados em Linux e dispositivos da Internet das Coisas (IoT) e usá-los como parte de um botnet DDoS.
Guys, another new #China (#PRC) made #DDoS #ELF #malware, I called it: "#Linux/Kaiji", coded in #Go lang, packed, VT low detection=1. You may want to block #C2 at:
1[.]versionday[.]xyz at 66[.]11[.]125[.]66 (at 66.11.125.0/24)
Good for ur @radareorg RE?https://t.co/YYDZ54BW26 pic.twitter.com/MIQQihhmXo— ?MalwareMustDie (@malwaremustdie) May 3, 2020
Kaiji, um novo malware para Linux
O malware Kaiji foi escrito do zero na linguagem de programação Go.
A análise publicada pela Intezer diz:
No final de abril, identificamos uma nova campanha de botnet com origens chinesas definitivas, visando servidores e dispositivos de IoT por meio de força bruta SSH. Enquanto a maioria dos invasores obtém seus implantes de fontes populares e bem testadas, como código aberto (por exemplo, Mirai) ou conjuntos de ferramentas de mercado negro (por exemplo, BillGates), esse botnet utiliza seu próprio implante personalizado, que o MalwareMustDie nomeou Kaiji com base em um dos nomes de função. O botnet foi construído do zero usando a linguagem de programação Golang, o que é raro no cenário de botnet da Internet das Coisas.
Notícias Relacionadas
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Mercado elétrico
Xiaomi atinge R$ 7,14 bilhões em receita com veículos elétricos no 3º trimestre de 2024
Xiaomi fecha o 3º trimestre de 2024 com R$ 7,14 bilhões em receita com veículos elétricos, impulsionado pelo sucesso da série SU7, apesar do prejuízo operacional.
A botnet Kaiji não utiliza explorações para se espalhar; em vez disso, realiza ataques de força bruta contra o root de dispositivos IoT e servidores Linux que deixaram sua porta SSH online.
Depois que o malware obtém acesso a uma conta root do dispositivo, um script bash é executado para configurar o ambiente para o código malicioso.
A análise continua:
Um diretório /usr/bin/lib é criado. Assim, o Kaiji é instalado com o nome de arquivo ‘netstat‘, ‘ps‘, ‘ls‘ ou algum outro nome de ferramenta do sistema.
Um malware simples
O malware Kaiji para Linux é bastante simples; ele implementa vários ataques DDoS, inclui um módulo para realizar ataques de força bruta SSH e roubar chaves SSH usadas. Assim, ele se espalha para outros dispositivos para infectar hosts aos quais o servidor se conectou no passado.
Todavia, os servidores de comando e controle Kaiji não são estáveis; eles geralmente ficam offline. De qualquer forma, especialistas alertam que os recursos desse botnet podem torná-lo um ator perigoso no cenário de ameaças.
Fonte: Security Affairs
