Onontdekte malware maakt van Linux- en BSD-servers botnets die spammen

[ware_item id=33][/ware_item]

mumblehard-botnets


Een nieuwe malwarefamilie, 'Mumblehard' genoemd door beveiligingsonderzoekers, infecteert al meer dan vijf jaar met succes webservers die draaien op Linux en BSD.

Ondanks dat het in 2009 naar VirusTotal is geüpload, is de malware sindsdien grotendeels onopgemerkt gebleven en alleen al in de afgelopen zes maanden verdubbeld in omvang, wat heeft geleid tot een botnet dat een enorme hoeveelheid spam-e-mail kan verspreiden.

Onderzoekers van antivirusbedrijf ESET werden zich voor het eerst bewust van Mumblehard nadat een systeembeheerder om hulp vroeg nadat ontdekte dat een van hun servers op de zwarte lijst stond voor het verzenden van spam.

Sindsdien heeft ESET het botnet enkele maanden gevolgd en ontdekt het zijn commando- en controlemechanisme en 8.867 unieke IP-adressen die ermee zijn verbonden, waarvan er alleen al in de afgelopen drie weken 3.000 zijn toegevoegd.

Ze ontdekten ook dat Mumblehard twee belangrijke componenten bezit - een die verantwoordelijk is voor de spamoperatie en een andere die als achterdeur fungeert. Beide componenten bleken met Perl te zijn geschreven en bevatten dezelfde aangepaste packer die in assembleertaal is geschreven.

In een rapport van 23 pagina's, uitgegeven door ESET, schreven de onderzoekers:

“Malware gericht op Linux- en BSD-servers wordt steeds complexer. Het feit dat de auteurs een aangepaste packer gebruikten om de Perl-broncode te verbergen, is enigszins geavanceerd. Het is echter zeker niet zo complex als de Windigo-operatie die we in 2014 hebben gedocumenteerd. Desalniettemin is het zorgwekkend dat de Mumblehard-operators al vele jaren ongestoord actief zijn. "

Nader onderzoek naar Mumblehard lijkt het te koppelen aan Yellsoft, een bedrijf dat DirectMailer verkoopt, een geautomatiseerd e-maildistributiesysteem waarmee de gebruiker anoniem berichten kan verzenden.

DirectMailer, dat ook in Perl is geschreven en op systemen van het UNIX-type draait, is beschikbaar voor $ 240, hoewel het interessant is op te merken dat de ontwikkelaars daadwerkelijk linken naar een site die een gekraakte kopie van de software biedt. Alsof dit niet schaduwrijk genoeg is, merken ze ook op dat ze geen technische ondersteuning kunnen bieden voor illegale versies van de software.

Kijk, de ESET-onderzoekers ontdekten vervolgens dat de gekraakte kopie van de software de Mumblehard-achterdeur bevat, wat betekent dat de operator van het botnet, zodra het is geïnstalleerd, vervolgens spam en proxyverkeer via het geïnfecteerde apparaat kan verzenden. Of de officiële versie van DirectMailer de malware bevat, is niet bekend.

De onderzoekers blijven analyseren hoe Mumblehard zichzelf op een systeem installeert en geloven momenteel dat systemen, naast de illegale software van DirectMailer, ook een risico kunnen lopen als ze een kwetsbare versie van de Joomla of WordPress content management systemen gebruiken.

Daarom is het advies van ESET aan systeembeheerders duidelijk: houd besturingssystemen en applicaties volledig bijgewerkt met patches en voer beveiligingssoftware uit die wordt aangeboden door een gerenommeerde verkoper.

Beheerders kunnen ook uitkijken naar onverklaarbare cron-taken die op servers worden uitgevoerd - Mumblehard gebruikt deze om elke 15 minuten naar zijn opdracht te bellen en servers te besturen.

De backdoor wordt ook meestal gevonden in de mappen / tmp of / var / tmp en kan worden vernietigd door die mappen met de noexec-vlag te koppelen.

Uitgelichte afbeelding: Derek Quantrell / Public Domain Pictures.net

Onontdekte malware maakt van Linux- en BSD-servers botnets die spammen
admin Author
Sorry! The Author has not filled his profile.