Abcbot Botnet, Xanthe Cryptomining Kötü Amaçlı Yazılımının Operatörleriyle Bağlantılı
Abcbot adlı gelişmekte olan bir DDoS botnetinin arkasındaki altyapıya ilişkin yeni araştırma, Aralık 2020'de ortaya çıkan bir kripto para birimi madenciliği botnet saldırısıyla bağlantıları ortaya çıkardı.
İlk olarak Kasım 2021'de Qihoo 360'ın Netlab güvenlik ekibi tarafından açıklanan Abcbot'u içeren saldırılar, Huawei, Tencent, Baidu ve Alibaba Cloud gibi bulut hizmeti sağlayıcıları tarafından çalıştırılan güvenli olmayan bulut örneklerini hedefleyen kötü amaçlı bir kabuk komut dosyası aracılığıyla tetikleniyor. makineyi bir botnet'e kabul eder, ancak süreçleri rakip tehdit aktörlerinden sonlandırmadan ve kalıcılık sağlamadan önce değil.
Söz konusu kabuk komut dosyasının kendisi , Trend Micro tarafından Ekim 2021'de keşfedilen ve Huawei Cloud içindeki savunmasız ECS örneklerine isabet eden önceki bir sürümün yinelemesidir .
Ancak ilginç bir bükülmede, IP adresleri, URL'ler ve örnekler de dahil olmak üzere bilinen tüm Uzlaşma Göstergelerini (IoC'ler) eşleyerek botnet'in devam eden analizi, Abcbot'un kodunu ve Xanthe adlı bir kripto para madenciliği operasyonunun kod ve özellik düzeyinde benzerliklerini ortaya çıkardı . enfeksiyonu yaymak için yanlış yapılandırılmış Docker uygulamalarından yararlandı.
Cado Security'den Matt Muir, The Hacker News ile paylaşılan bir raporda, "Aynı tehdit aktörü hem Xanthe hem de Abcbot'tan sorumludur ve hedefini güvenliği ihlal edilmiş ana bilgisayarlarda kripto para madenciliğinden DDoS saldırıları gibi daha geleneksel olarak botnet'lerle ilişkili faaliyetlere kaydırıyor" dedi.
İki kötü amaçlı yazılım ailesi arasındaki anlamsal örtüşmeler, kaynak kodun nasıl biçimlendirildiğinden rutinlere verilen adlara kadar uzanır; bazı işlevler yalnızca aynı adları ve uygulamayı (örn. işlev adlarının sonuna (örneğin, "filerungo").
Muir, "Bu, işlevin Abcbot sürümünün birkaç kez yinelendiğini ve her yinelemede yeni işlevsellik eklendiğini gösterebilir," dedi.
Ayrıca, kötü amaçlı yazılım eserlerinin derinlemesine incelenmesi, botnet'in "autoupdater", "logger", "sysall" ve "system" gibi genel, göze çarpmayan adlar kullanarak kendi başına dört kullanıcı oluşturma yeteneğini ortaya çıkardı. Algılama ve kötü niyetli kullanıcılara virüslü sistem üzerinde yönetici yetkileri vermek için bunları sudoers dosyasına ekleme.
Muir, "Kod yeniden kullanımı ve hatta benzer şekilde kopyalama, kötü amaçlı yazılım aileleri ve herhangi bir platformdaki belirli örnekler arasında sıklıkla görülür." dedi. "Geliştirme açısından mantıklı; meşru yazılım kodunun geliştirme süresinden tasarruf etmek için yeniden kullanılması gibi, aynı şey meşru olmayan veya kötü amaçlı yazılımlarda da olur."
Kaynak: https://thehackernews.com/2022/01/abcbot-botnet-linked-to-operators-of.html
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
