Neotkriveni zlonamjerni softver pretvara Linux i BSD poslužitelje u neželjene mreže

mumblehard-botnets

Nova obitelj zlonamjernog softvera koju su istraživači za sigurnost nazvali “Mumblehard” uspješno zaražava web poslužitelje koji rade na Linuxu i BSD-u više od pet godina.

Iako je učitan u VirusTotal 2009. godine, malware je otprilike otkrio i tijekom posljednjih šest mjeseci udvostručio se, što dovodi do botneta koji može raznijeti veliku količinu neželjene pošte.

Istraživači iz antivirusne tvrtke ESET prvi su postali svjesni Mumbleharda nakon što je administrator sustava zatražio pomoć nakon što je otkrio da je jedan od njihovih poslužitelja stavljen na crnu listu za slanje neželjene pošte.

Od tada, ESET nadzire botnet nekoliko mjeseci, otkrivajući njegov upravljački i upravljački mehanizam, kao i 8.867 jedinstvenih IP adresa povezanih s njim, od kojih je 3.000 dodano samo u posljednja tri tjedna.

Otkrili su i da Mumblehard posjeduje dvije ključne komponente – jednu koja je odgovorna za rad neželjene pošte i drugu koja djeluje kao backdoor. Otkriveno je da su obje komponente napisane pomoću Perla i sadrže isti prilagođeni paker napisan skupštinskim jezikom.

U izvještaju na 23 stranice koji je objavio ESET, istraživači su napisali:

„Zlonamjerni softver koji cilja Linux i BSD poslužitelje postaje sve složeniji. Činjenica da su autori koristili prilagođeni paker da sakriju Perl izvorni kod nešto je sofisticiranija. Međutim, definitivno nije tako složen kao operacija Windigo koju smo dokumentirali 2014. Ipak, zabrinjavajuće je što su operateri Mumblehard aktivni dugi niz godina bez ometanja. “

Čini se da se daljnja istraga Mumbleharda povezuje s Yellsoft-om, tvrtkom koja prodaje DirectMailer, automatiziranim sustavom za distribuciju e-pošte koji korisniku omogućuje anonimno slanje poruka.

DirectMailer, koji je također napisan na Perlu i radi na sustavima tipa UNIX, dostupan je za 240 dolara, iako je zanimljivo napomenuti da programeri zapravo vode na web mjesto koje nudi ispucanu kopiju softvera. Kao da to nije dovoljno sjenovito, oni također primjećuju da nisu u mogućnosti pružiti tehničku podršku za piratske verzije softvera..

Evo, ESET-ovi istraživači su nakon toga otkrili da puknuta kopija softvera sadrži Mumblehard stražnji dio, što znači da nakon što je instaliran, operator botneta tada može slati neželjenu poštu i proxy promet putem zaraženih uređaja. Sadrži li službena verzija DirectMailera zlonamjerni softver ili ne.

Istraživači nastavljaju s analizom načina na koji se Mumblehard instalira na sustav i trenutno vjeruju da, osim piratskog softvera DirectMailer, sustavi mogu biti u opasnosti i ako pokrenu ranjivu verziju Joomla ili WordPress sustava za upravljanje sadržajem.

Stoga je ESET-ov savjet administratorima sustava očit – ažurirajte operativne sustave i aplikacije u potpunosti ažuriranim zakrpama i budite sigurni da pokrećete sigurnosni softver koji nudi ugledni dobavljač..

Administratori također mogu paziti na neobjašnjive poslove cron-a koji se izvode na poslužiteljima – Mumblehard ih koristi za pozivanje kućama na svoje poslužiteljske naredbe i kontrole točno svakih 15 minuta.

Također, stražnji dio se obično nalazi u / tmp ili / var / tmp mapama i može se poništiti postavljanjem tih direktorija sa noexec zastavom.

Izdvojena slika: Derek Quantrell / Public Domain Pictures.net