- 10,638
- 18
- 8 Ноя 2022
Хитрый ботнет выжимает все соки с каждого заражённого устройства.
Исследователи из команды безопасности XLab Для просмотра ссылки Войдиили Зарегистрируйся новый ботнет Zergeca, отличающийся своими передовыми возможностями и представляющий серьёзную угрозу для миллионов цифровых устройств. Zergeca способен не только проводить DDoS -атаки, но и выполнять множество других вредоносных функций.
20 мая 2024 года XLab зафиксировала подозрительный ELF-файл в каталоге «/usr/bin/geomi» на платформе Linux одного из своих клиентов. Этот файл, упакованный с помощью модифицированного UPX, долгое время оставался незамеченным антивирусными программами.
После анализа исследователи выяснили, что это ботнет, реализованный на Golang . А учитывая то, что в его C2 -инфраструктуре использовалась строка «ootheca», напоминающая о зергах из StarCraft, специалисты XLab назвали ботнет Zergeca, подчёркивая его агрессивный и стремительный характер распространения.
Zergeca поддерживает шесть методов DDoS-атак, а также функции проксирования, сканирования, самообновления, сохранения постоянства, передачи файлов, обратной оболочки и сбора конфиденциальной информации.
Zergeca использует несколько методов DNS-разрешения, включая DNS over HTTPS (DOH). Также применяется библиотека Smux для C2-протокола, обеспечивающая шифрование с помощью XOR. Это позволяет ботнету эффективно скрывать свою деятельность и усложняет его обнаружение.
Анализ показал, что IP-адрес 84.54.51.82, используемый для C2, с сентября 2023 года обслуживал два ботнета Mirai, что говорит о накопленном опыте его создателей. Основные методы распространения Zergeca включают эксплуатацию слабых паролей Telnet и уязвимостей Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся
С начала июня 2024 года Zergeca нацелился на Канаду, США и Германию. Основным типом атаки был ackFlood (atk_4), а жертвами становились различные автономные системы (ASN). Zergeca работает на архитектуре x86-64 и нацелена на платформу Linux, однако в коде ботнета исследователи также обнаружили упоминания Android и Windows, что намекает на будущие сценарии развития вредоноса.
Zergeca достигает постоянства на скомпрометированных устройствах, добавляя системную службу «geomi.service», что обеспечивает автоматический запуск процесса при перезагрузке устройства. Для шифрования строк используется XOR с жёстко закодированным ключом.
Ботнет включает модуль Silivaccine, который устраняет конкурентные угрозы, такие как майнеры и трояны, обеспечивая монополию на заражённом устройстве и использование максимальной производительности.
Открытие Zergeca демонстрирует непрерывную эволюцию и усложнение ботнетов. Благодаря своим передовым функциям, обеспечению постоянства и гибкости, Zergeca представляет серьёзную угрозу. Специалисты в области кибербезопасности должны оставаться бдительными и принимать проактивные меры для выявления и смягчения таких угроз.
Исследователи из команды безопасности XLab Для просмотра ссылки Войди
20 мая 2024 года XLab зафиксировала подозрительный ELF-файл в каталоге «/usr/bin/geomi» на платформе Linux одного из своих клиентов. Этот файл, упакованный с помощью модифицированного UPX, долгое время оставался незамеченным антивирусными программами.
После анализа исследователи выяснили, что это ботнет, реализованный на Golang . А учитывая то, что в его C2 -инфраструктуре использовалась строка «ootheca», напоминающая о зергах из StarCraft, специалисты XLab назвали ботнет Zergeca, подчёркивая его агрессивный и стремительный характер распространения.
Zergeca поддерживает шесть методов DDoS-атак, а также функции проксирования, сканирования, самообновления, сохранения постоянства, передачи файлов, обратной оболочки и сбора конфиденциальной информации.
Zergeca использует несколько методов DNS-разрешения, включая DNS over HTTPS (DOH). Также применяется библиотека Smux для C2-протокола, обеспечивающая шифрование с помощью XOR. Это позволяет ботнету эффективно скрывать свою деятельность и усложняет его обнаружение.
Анализ показал, что IP-адрес 84.54.51.82, используемый для C2, с сентября 2023 года обслуживал два ботнета Mirai, что говорит о накопленном опыте его создателей. Основные методы распространения Zergeca включают эксплуатацию слабых паролей Telnet и уязвимостей Для просмотра ссылки Войди
С начала июня 2024 года Zergeca нацелился на Канаду, США и Германию. Основным типом атаки был ackFlood (atk_4), а жертвами становились различные автономные системы (ASN). Zergeca работает на архитектуре x86-64 и нацелена на платформу Linux, однако в коде ботнета исследователи также обнаружили упоминания Android и Windows, что намекает на будущие сценарии развития вредоноса.
Zergeca достигает постоянства на скомпрометированных устройствах, добавляя системную службу «geomi.service», что обеспечивает автоматический запуск процесса при перезагрузке устройства. Для шифрования строк используется XOR с жёстко закодированным ключом.
Ботнет включает модуль Silivaccine, который устраняет конкурентные угрозы, такие как майнеры и трояны, обеспечивая монополию на заражённом устройстве и использование максимальной производительности.
Открытие Zergeca демонстрирует непрерывную эволюцию и усложнение ботнетов. Благодаря своим передовым функциям, обеспечению постоянства и гибкости, Zergeca представляет серьёзную угрозу. Специалисты в области кибербезопасности должны оставаться бдительными и принимать проактивные меры для выявления и смягчения таких угроз.
- Источник новости
- www.securitylab.ru
