Nuevo botnet Panchan ataca servidores Linux en telecomunicaciones y educación

La investigación de seguridad de Akamai anunció el miércoles que ha descubierto un nuevo botnet que ataca los servidores Linux de proveedores de telecomunicaciones y educación en Asia, Europa y América. El botnet y el cryptominer, llamado Panchan, surgieron por primera vez en Japón en marzo de 2022.

“Suponemos que las colaboraciones entre diferentes institutos académicos podrían provocar que las claves SSH se compartan entre redes, lo que podría explicar por qué este sector encabeza la lista”, dice el informe.

Panchan está escrito en el lenguaje de programación Go y utiliza las características de concurrencia de Go para maximizar su propagación y ejecutar cargas útiles.

“Después de una autenticación exitosa en el objetivo, el malware crea una carpeta oculta con un nombre aleatorio en el directorio raíz / y se copia a sí mismo en la carpeta oculta con el nombre xinetd usando sftp”, dijo Stiv Kupchik, investigador de Akamai. “Luego, el malware ejecuta remotamente el ejecutable copiado en la máquina objetivo (usando nohup) y le pasa una lista de pares a través de la línea de comandos. Después de una infección exitosa, el malware inicia una operación POST HTTPS a un enlace webhook de Discord, que probablemente se utiliza para monitorear a las víctimas”.

VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)

Además del ataque de diccionario SSH básico que es común en la mayoría de los gusanos, Panchan es único en que cosecha claves SSH para realizar movimientos laterales, dijo Akamai.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

“En lugar de simplemente usar ataques de fuerza bruta o diccionario en direcciones IP aleatorias como la mayoría de los botnets, el malware también lee los archivos id_rsa y known_hosts para recolectar credenciales existentes y usarlas para moverse lateralmente a través de la red”, dice el informe.

Específicamente, Panchan busca el directorio principal del usuario en ejecución de la máquina host para buscar configuraciones y claves SSH. Lee la clave privada en ~HOME/.ssh/id_rsa y la utiliza para intentar autenticarse en cualquier dirección IP encontrada en ~HOME/.ssh/known_hosts.

“Es principalmente un cryptojacker, así que no creo que sea tan peligroso. Pero es único. La comunicación P2P no es tan común en el malware, y la recolección de claves SSH también parece bastante novedosa”, dijo Kupchik.

El botnet también utiliza un panel de administración y comunicación llamado “godmode”, que los investigadores de Akamai analizaron en ingeniería inversa para examinar su eficacia y propagación.

“Esta es probablemente la característica más única del malware”, dice el informe. “Tiene un panel administrativo incorporado directamente en el ejecutable del malware. Para ejecutarlo, debemos pasarle al malware la cadena godmode como el primer argumento de la línea de comandos (seguido de una lista de pares)”.

Para evitar la detección y reducir la rastreabilidad, Panchan descarga sus cryptominers como archivos de mapeo de memoria, sin dejar ningún rastro en el disco. Según Microsoft, los archivos de mapeo de memoria contienen el contenido de un archivo en la memoria virtual. Si Panchan detecta algún proceso de monitoreo, mata los procesos de cryptominer.

Cómo proteger tu computadora de los virus: métodos y consejos

Aumento de ataques similares

“El sector más común entre las víctimas monitoreadas fue la educación. Esto puede deberse a una mala higiene de contraseñas o puede estar relacionado con la capacidad única de movimiento lateral del malware con claves SSH robadas. Los investigadores en diferentes instituciones académicas pueden colaborar con más frecuencia que los empleados del sector empresarial y necesitar credenciales para autenticarse en máquinas que están fuera de su organización/red”, dijo Kupchik.

Los ataques de botnet DDoS están aumentando y se están volviendo difíciles de detener, según un nuevo informe de Nokia.

La red de distribución de contenido y proveedor de servicios empresariales Cloudflare anunció el martes que detuvo recientemente el mayor ataque DDoS a través de HTTPS registrado. El ataque generó más de 212 millones de solicitudes HTTPS desde más de 1500 redes en 121 países, provenientes de un botnet de 5.067 dispositivos. En su punto máximo, los bots generaron más de 26 millones de solicitudes por segundo.

VER: Violación de contraseña: Por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

Panchan es fácil de detener

A pesar de que utiliza métodos únicos para infectar y propagarse, Panchan es fácil de detener, según Akamai. La autenticación multifactorial puede mitigar el riesgo que presenta la recolección de claves SSH. Debido a que Panchan se basa en una lista muy básica de contraseñas predeterminadas para propagarse, el uso de contraseñas SSH fuertes “debería detenerlo en seco”, según el informe.

Según Kupchik, “la segmentación y el control de acceso pueden ayudar a mitigar el riesgo de recolección de claves SSH, y MFA también puede ayudar”.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Akamai también recomienda a los usuarios:

• Usar la segmentación de red cuando sea posible.
• Monitorear la actividad de recursos de las máquinas virtuales en busca de signos de actividad de botnet. Botnets como Panchan, cuyo objetivo final es el cryptojacking, pueden aumentar el uso de recursos de las máquinas a niveles anormales. El monitoreo constante puede alertar sobre actividad sospechosa.

Akamai también ha publicado IoCs, consultas, firmas y scripts que se pueden utilizar para buscar infecciones.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevo botnet Panchan ataca servidores Linux en telecomunicaciones y educación , tenemos lo ultimo en tecnología 2023.