СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
05.07.2024
#ИБ#Инфра

Эксперты обнаружили новый ботнет для DDoS-атак на базе Golang

Эксперты обнаружили новый ботнет для DDoS-атак на базе Golang

Kevin Horvat (unsplash)

Эксперты по кибербезопасности обнаружили новый ботнет под названием Zergeca, способный проводить распределённые атаки типа «отказ в обслуживании» (DDoS). Ботнет, написанный на Golang, получил такое название из-за ссылки на строку с именем «ootheca», присутствующую на серверах управления и контроля (C2) («ootheca[.]pw» и «ootheca[.]top»).

Аналитики из компании QiAnXin XLab отмечают, что функционально Zergeca — это не просто типичный DDoS-ботнет; помимо поддержки шести различных методов атак, он также обладает возможностями проксирования, сканирования, самообновления, сохранения, передачи файлов, обратного шелла и сбора конфиденциальной информации об устройствах.

Ещё одной примечательной особенностью ботнета Zergeca является то, что он использует DNS-over-HTTPS (DoH) для выполнения разрешения системы доменных имен (DNS) сервера C2 и применяет менее известную библиотеку Smux для коммуникаций сервера управления и контроля.

Аналитики также уверены, что есть данные, позволяющие предположить, что вредоносное ПО активно развивается и обновляется для поддержки новых команд. Более того, уточняется, что IP-адрес C2 84.54.51[.]82 ранее использовался для распространения ботнета Mirai примерно в сентябре 2023 года. С 29 апреля 2024 года тот же IP-адрес начал использоваться в качестве сервера C2 для нового ботнета, что повышает вероятность того, что злоумышленники накопили опыт эксплуатации ботнетов Mirai до создания Zergeca.

Атаки ботнета, в основном DDoS-атаки с использованием ACK-флуда, были направлены на Канаду, Германию и США в период с начала по середину июня 2024 года.

Функции Zergeca охватывают четыре отдельных модуля: сохранение, прокси, silivaccine и «зомби», для настройки сохранения путём добавления системной службы, реализации проксирования, удаления конкурирующих вредоносных программ-майнеров и бэкдоров, а также получения исключительного контроля над устройствами, работающими под управлением архитектуры ЦП x86-64, и управления основными функциями ботнета.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: