Abcbot Botnet Tertaut ke Operator malware Xanthe Cryptomining

  • Whatsapp
Cryptomining malware
Abcbot Botnet Tertaut ke Operator malware Xanthe Cryptomining

News.nextcloud.asia –

Malware penambang kripto

Penelitian baru tentang infrastruktur di balik botnet DDoS yang baru muncul bernama Abcbot telah menemukan tautan dengan serangan botnet penambangan cryptocurrency yang terungkap pada Desember 2020.

Serangan yang melibatkan Abcbot, pertama kali diungkapkan oleh tim keamanan Netlab Qihoo 360 pada November 2021, adalah terpicu melalui skrip shell berbahaya yang menargetkan instance cloud tidak aman yang dioperasikan oleh penyedia layanan cloud seperti Huawei, Tencent, Baidu, dan Alibaba Cloud untuk mengunduh malware yang mengkooptasi mesin ke botnet, tetapi tidak sebelum menghentikan proses dari pelaku ancaman yang bersaing dan membangun kegigihan.

Skrip shell yang dimaksud itu sendiri merupakan iterasi dari versi sebelumnya telah menemukan oleh Trend Micro pada Oktober 2021 mengenai instans ECS yang rentan di dalam Huawei Cloud.

Pencadangan GitHub Otomatis

Namun dalam putaran yang menarik, analisis lanjutan dari botnet dengan memetakan semua Indikator Kompromi (IoCs) yang diketahui, termasuk alamat IP, URL, dan sampel, telah mengungkapkan kode Abcbot dan kesamaan tingkat fitur dengan operasi penambangan cryptocurrency yang dijuluki Xanthe yang mengeksploitasi implementasi Docker yang tidak dikonfigurasi dengan benar untuk menyebarkan infeksi.

Malware penambang kripto

“Aktor ancaman yang sama bertanggung jawab atas Xanthe dan Abcbot dan mengalihkan tujuannya dari menambang cryptocurrency pada host yang disusupi ke aktivitas yang lebih tradisional terkait dengan botnet, seperti serangan DDoS,” Matt Muir dari Cado Security dikatakan dalam laporan yang dibagikan kepada The Hacker News.

Tumpang tindih semantik antara dua keluarga malware berkisar dari bagaimana kode sumber diformat hingga nama yang diberikan ke rutinitas, dengan beberapa fungsi tidak hanya menggunakan nama dan implementasi yang identik (misalnya, “nameservercheck”) tetapi juga menambahkan kata “go” ke akhir nama fungsi (misalnya, “filerungo”).

“Ini bisa menunjukkan bahwa versi fungsi Abcbot telah diulang beberapa kali, dengan fungsionalitas baru ditambahkan pada setiap iterasi,” jelas Muir.

Mencegah Pelanggaran Data

Selanjutnya, pemeriksaan mendalam terhadap artefak malware mengungkapkan kemampuan botnet untuk membuat sebanyak empat pengguna mereka sendiri dengan menggunakan nama generik yang tidak mencolok seperti “autoupdater,” “logger,” “sysall,” dan “sistem” untuk menghindari deteksi, dan menambahkannya ke file sudoers untuk memberikan kekuasaan administratif kepada pengguna nakal atas sistem yang terinfeksi.

“Penggunaan kembali kode dan bahkan penyalinan suka-untuk-suka sering terlihat antara keluarga malware dan sampel tertentu di platform apa pun,” kata Muir. “Masuk akal dari perspektif pengembangan; seperti halnya kode untuk perangkat lunak yang sah digunakan kembali untuk menghemat waktu pengembangan, hal yang sama terjadi dengan perangkat lunak yang tidak sah atau berbahaya.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.