Na semana passada, o popular pesquisador de segurança MalwareMustDie e os especialistas do Intezer Labs detectaram um novo malware chamado Kaiji, que está alvejando dispositivos IoT através de ataques de força bruta SSH.
O código malicioso foi projetado para direcionar servidores baseados em Linux e dispositivos da Internet das Coisas (IoT) e usá-los como parte de um botnet DDoS.
Guys, another new #China (#PRC) made #DDoS #ELF #malware, I called it: "#Linux/Kaiji", coded in #Go lang, packed, VT low detection=1. You may want to block #C2 at:
1[.]versionday[.]xyz at 66[.]11[.]125[.]66 (at 66.11.125.0/24)
Good for ur @radareorg RE?https://t.co/YYDZ54BW26 pic.twitter.com/MIQQihhmXo— ?MalwareMustDie (@malwaremustdie) May 3, 2020
Notícias Relacionadas
Virtual
VirtualBox 7.1 Beta atualiza GUI modernizada e implanta suporte Wayland para compartilhamento da área de transferência
O novo VirtualBox 7.1 Beta atualiza GUI modernizada e implanta suporte Wayland para compartilhamento da área de transferência. A Oracle lançou a primeira versão beta pública de seu software de virtualização VirtualBox 7.1. O próximo lançamento do VirtualBox também contará com a GUI renovada baseada no Qt 6, novo mecanismo NAT com suporte a IPv6 […]
ASUS ROG Ally X já recebe patches do Linux
O dispositivo de jogos ASUS ROG Ally X já recebe patches do Linux. Neste fim de semana, o ASUS ROG Ally X começou a ser enviado como uma versão atualizada do console de jogos portátil ASUS ROG Ally, lançado no ano passado. O ASUS ROG Ally X ainda é alimentado pelo AMD Ryzen Z1 Extreme SoC e, em […]
Kaiji, um novo malware para Linux
O malware Kaiji foi escrito do zero na linguagem de programação Go.
A análise publicada pela Intezer diz:
No final de abril, identificamos uma nova campanha de botnet com origens chinesas definitivas, visando servidores e dispositivos de IoT por meio de força bruta SSH. Enquanto a maioria dos invasores obtém seus implantes de fontes populares e bem testadas, como código aberto (por exemplo, Mirai) ou conjuntos de ferramentas de mercado negro (por exemplo, BillGates), esse botnet utiliza seu próprio implante personalizado, que o MalwareMustDie nomeou Kaiji com base em um dos nomes de função. O botnet foi construído do zero usando a linguagem de programação Golang, o que é raro no cenário de botnet da Internet das Coisas.
A botnet Kaiji não utiliza explorações para se espalhar; em vez disso, realiza ataques de força bruta contra o root de dispositivos IoT e servidores Linux que deixaram sua porta SSH online.
Depois que o malware obtém acesso a uma conta root do dispositivo, um script bash é executado para configurar o ambiente para o código malicioso.
A análise continua:
Um diretório /usr/bin/lib é criado. Assim, o Kaiji é instalado com o nome de arquivo ‘netstat‘, ‘ps‘, ‘ls‘ ou algum outro nome de ferramenta do sistema.
Um malware simples
O malware Kaiji para Linux é bastante simples; ele implementa vários ataques DDoS, inclui um módulo para realizar ataques de força bruta SSH e roubar chaves SSH usadas. Assim, ele se espalha para outros dispositivos para infectar hosts aos quais o servidor se conectou no passado.
Todavia, os servidores de comando e controle Kaiji não são estáveis; eles geralmente ficam offline. De qualquer forma, especialistas alertam que os recursos desse botnet podem torná-lo um ator perigoso no cenário de ameaças.
Fonte: Security Affairs
