一种新发现的基于Go的Linux僵尸网络恶意软件名为PumaBot，它通过暴力破解嵌入式物联网设备上的SSH凭证来部署恶意负载。

PumaBot 的针对性也体现在它根据从命令和控制 (C2) 服务器获取的列表针对特定的 IP 地址，而不是对互联网进行广泛的扫描。

瞄准监控摄像头

Darktrace在一份报告中记录了PumaBot，该报告概述了僵尸网络的攻击流程、入侵指标（IoCs）和检测规则。恶意软件从其C2 （ssh.ddos-cc.org）接收目标ip列表，并试图在端口22上执行暴力登录尝试以开放SSH访问。

在这个过程中，它会检查“Pumatronix”字符串的存在，这可能与供应商的监控和交通摄像头系统的目标相对应。

一旦目标被建立，恶意软件就会接收凭证来针对它们进行测试。如果成功，它运行‘uname -a’来获取环境信息并验证目标设备不是蜜罐。

接下来，它将它的主二进制文件（jierui）写入/lib/redis，并安装一个systemd服务（redis.service），以确保设备重启时的持久性。

最后，它将自己的SSH注入到“authorized_keys”文件中以保持访问，即使在清除了主要感染的情况下也是如此。

当感染处于活跃状态时，PumaBot可以接收命令，试图窃取数据，引入新的有效载荷，或窃取横向移动中有用的数据。

Darktrace看到的有效负载示例包括自我更新脚本、PAM rootkit（替换合法的“pam_unix”）。所以'和daemons（二进制文件“1”）。

恶意PAM模块获取本地和远程SSH登录详细信息，并将其存储在一个文本文件（con.txt）中。“监视者”二进制文件(1)不断查找该文本文件，然后将其泄露到C2。

在文本文件上写入凭据

在泄漏之后，文本文件将从受感染的主机上擦除，以删除恶意活动的任何痕迹。PumaBot的规模和成功概率目前尚不清楚，也没有资料提到目标IP列表有多广泛。

这种新型僵尸网络恶意软件的特别之处在于，它不是直接利用受感染的物联网进行分布式拒绝服务（DoS）攻击或代理网络等低级网络犯罪，而是发起有针对性的攻击，从而为企业网络的深入渗透开辟了道路。

为了防御僵尸网络威胁，建议将物联网升级到最新可用的固件版本，更改默认凭据，将它们置于防火墙之后，并将它们与有价值的系统隔离在单独的网络中。

参考及来源：https://www.bleepingcomputer.com/news/security/new-pumabot-botnet-brute-forces-ssh-credentials-to-breach-devices/