Компанія ESET — лідер у галузі проактивного виявлення — розкрила діяльність сімейства шкідливих програм Linux/Mumblehard, яка більше 5 років інфікувало системи під управлінням Linux та BSD з метою створення ботів для розсилки спаму.
Сімейство Mumblehard складається з двох різних компонентів — типового бекдора, який керується за допомогою командного сервера (С&C) та використовує уразливості в Joomla та Wordpress, і так званого «демона» для розсилки спаму — програми, яка запускається у фоновому режимі без прямої взаємодії з користувачем за допомогою команди, отриманої від бекдора. Обидва компоненти написані на мові програмування Perl та мають ознаки пакувальника, написаного на мові асемблера, використання якого для створення виконуваних файлів у форматі ELF для ускладнення розпізнавання коду Perl говорить про достатньо високий рівень складності даної загрози.
Таким чином аналіз Mumblehard показав, що основною метою цих шкідливих програм є розсилка спам повідомлень з легітимних IP-адрес інфікованих машин.
Дослідники ESET спостерігали за поведінкою бекдора Mumblehard, визначивши ім'я домену, яке використовувалося в якості одного з командних серверів C&C. Більше 8500 унікальних IP-адрес були задіяні в шкідливій діяльності Mumblehard за 7 місяців. Тільки за перший тиждень квітня 2015 року було інфіковано 3000 комп'ютерів. Незважаючи на незначне зменшення кількості заражених хостів, згідно з отриманими даними, за останні 6 місяців розмір ботнету збільшився в 2 рази. Також можна зробити висновок, що основним напрямком атак даної загрози є веб-сервери.
Крім цього, проведений аналіз показав тісний зв'язок між Mumblehard та веб-ресурсом Yellsoft. По-перше, IP-адреси, які використовуються в ролі командних серверів для бекдора та «демона», знаходяться в тому ж діапазоні, що і хостинг yellsoft.net. По-друге, були виявлені «піратські» копії програмного забезпечення DirectMailer для Linux та BSD, які при запуску встановлювали в фоновому режимі бекдор Mumblehard і продавалися на сайті Yellsoft за 240 $.
Вивчивши цю загрозу, спеціалісти ESET у разі зараження рекомендують визначити всі доступи на сервери, здійснені без запиту, оскільки даний механізм використовує бекдор Mumblehard для активації кожні 15 хвилин. Бекдор зазвичай встановлюється в /tmp/ або /var/tmp. Під час інсталяції директорія tmp необхідно включити виконання інструкції NOEXEC для запобігання виконанню бекдора. Крім цього, у зв'язку з високою активністю даної загрози всім системним адміністраторам настійно рекомендується перевірити наявність останніх латок для операційних систем і додатків, а також забезпечити надійний та всебічний антивірусний захист серверів.
Більш детальна інформація про сімейство шкідливих програм Linux/Mumblehard доступна у документі.