Компания ESET — лидер в области проактивного обнаружения — раскрыла деятельность семейства вредоносных программ Linux/Mumblehard, которое более 5 лет инфицировало системы под управлением Linux и BSD с целью создания ботов для рассылки спама.
Семейство Mumblehard состоит из двух разных компонентов — типичного бэкдора, который управляется с помощью командного сервера (С&C) и использует уязвимости в Joomla и Wordpress, и так называемого «демона» для рассылки спама — программы, которая запускается в фоновом режиме без прямого взаимодействия с пользователем с помощью команды, полученной от бэкдора. Оба компонента написаны на языке программирования Perl и обладают признаками упаковщика, написанного на языке ассемблера, использование которого для создания исполняемых файлов в формате ELF для усложнения распознавания кода Perl говорит о достаточно высоком уровне сложности данной угрозы.
Таким образом анализ Mumblehard показал, что основной целью этих вредоносных программ является рассылка спам сообщений с легитимных IP-адресов зараженных машин.
Исследователи ESET наблюдали за поведением бэкдора Mumblehard, определив имя домена, которое использовалось в качестве одного из командных серверов C&C. Более 8500 уникальных IP-адресов были задействованы во вредоносную деятельность Mumblehard за 7 месяцев. Только за первую неделю апреля 2015 года были инфицированы 3000 компьютеров. Несмотря на незначительное уменьшение количества зараженных хостов, согласно полученным данным, за последние 6 месяцев размер ботнета увеличился в 2 раза. Также можно сделать вывод, что основным направлением атак данной угрозы являются веб-сервера.
Кроме этого, проведенный анализ показал тесную связь между Mumblehard и веб-ресурсом Yellsoft. Во-первых, IP-адреса, используемые в качестве командных серверов для бэкдора и «демона», находятся в том же диапазоне, что и хостинг yellsoft.net. Во-вторых, были выявлены «пиратские» копии программного обеспечения DirectMailer для Linux и BSD, которые при запуске устанавливали в фоновом режиме бэкдор Mumblehard и продавались на сайте Yellsoft за 240$.
Изучив данную угрозу, специалисты ESET в случае заражения рекомендуют определить все доступы на серверы, осуществленные без запроса, поскольку данный механизм использует бекдор Mumblehard для активации каждые 15 минут. Бэкдор обычно устанавливается в /tmp / или /var/tmp. При установке директория tmp необходимо включить выполнение инструкции NOEXEC, что предотвратит выполнение бэкдора. Кроме этого, в связи с высокой активностью данной угрозы всем системным администраторам настоятельно рекомендуется проверить наличие последних заплаток для операционных систем и приложений, а также обеспечить надежную и всестороннюю антивирусную защиту серверов.
Более подробная информация о семействе вредоносных программ Linux/Mumblehard доступна в документе.