Os servidores Linux são alvo de uma campanha contínua que distribui um malware furtivo chamado perfeito com o objetivo principal de usar um minerador de criptomoedas e software de proxyjacking.
“O Perfctl é indetectável e persistente, usando várias técnicas sofisticadas”, disseram os pesquisadores de segurança do Aqua, Assaf Morag e Idan Revivo, em um relatório compartilhado com o The Hacker News.
“Quando um novo usuário faz logon no servidor, ele interrompe imediatamente todas as atividades 'ruidosas' e dorme silenciosamente até que o servidor fique ocioso novamente. Depois de ser eliminado, ele exclui seu binário e continua a ser executado silenciosamente em segundo plano como um serviço. “
É importante notar que alguns aspectos da campanha foram revelados no mês passado pela Cado Security, que detalhou uma campanha direcionada a eventos do Selenium Grid expostos online tanto com software de mineração de criptomoeda quanto com proxyjacking.
Especificamente, descobriu-se que o malware perfctl explorava a segurança no Polkit (CVE-2021-4043, também conhecido como PwnKit) para aumentar privilégios e despejar um minerador chamado perfcc.
A razão para o nome “perfctl” parece ser uma tentativa deliberada de evitar detecção e confusão com processos oficiais do sistema, já que “perf” se refere a uma ferramenta de monitoramento de desempenho do Linux e “ctl” se refere ao controle sobre várias ferramentas de linha de comando, como como systemctl, timedatectl e RabbitMQCTL.
A cadeia de ataque, vista pela empresa de segurança em nuvem contra seus servidores honeypot, consiste na violação de servidores Linux usando uma instância vulnerável do Apache RocketMQ para entregar uma carga chamada “httpd”.
Uma vez extraído, ele se copia para um novo local no diretório “/tmp”, executa o novo binário, encerra o processo original e exclui o binário original na tentativa de cobrir seus rastros.
Além de se copiar para outros locais e dar-lhes nomes aparentemente inócuos, o malware é projetado para derrotar o rootkit, a fim de escapar das defesas e da carga de trabalho do minerador. Outros casos também incluem a recuperação e execução de software de proxyjacking de um servidor remoto.
Para reduzir os riscos apresentados pelo perfctl, é recomendado manter os sistemas e todos os softwares atualizados, limitar o uso de arquivos, desabilitar recursos não utilizados, impor o isolamento da rede e usar o Controle de Acesso Baseado em Função (RBAC) para restringir o acesso a arquivos importantes. .
“Para detectar malware perfctl, você procura picos incomuns no uso da CPU ou lentidão do sistema se um rootkit estiver instalado em seu servidor”, disseram os pesquisadores. “Isso pode indicar atividades de mineração de criptografia, especialmente durante períodos ociosos.”
