K4spreader

Editors' Pick

Az Xlab kutatói 2024. június 17-én felfedeztek egy C nyelven írt ELF-mintát, amelynek észlelési aránya 0 volt a Virus Total-on. Ezt a mintát egy módosított upx csomagolóval csomagolták. A kicsomagolás után egy másik módosított upx-packelt elf fájlt kaptak, amely CGO módban íródott. Az elemzés után kiderült, hogy ez a 8220 miner új eszköze, amelyet más rosszindulatú programok telepítésére használnak, főként a Tsunami DDoS botnet és a PwnRig bányászprogram telepítésére. A mintában szereplő funkció neve alapján k4spreader-nek neveztek el. A Virus Total és a honeypotjaink adatainak további elemzése után megállapították, hogy a k4spreader még mindig a fejlesztési szakaszban van, de már 3 változata is megjelent, ezért úgy döntöttek, hogy ismertetik.

8220 banda: A Water Sigbin néven is ismert bányászbanda Kínából származik, és 2017 óta aktív. 2017 novemberében a Weblogic deserializációs sebezhetőségét (CVE- 2017-10271) kihasználva behatolt egy szerverre és beültetett egy miner trójai programot. Ez az első nyilvánosan nyilvánosságra hozott eset, amikor egy 0 napos sebezhetőséget használtak fel egy szerverre való behatolásra és bányászati trójai beültetésére. A banda jól kihasználja az olyan sebezhetőségeket, mint a deserializáció és a jogosulatlan hozzáférés, hogy Windows és Linux szervereket támadjon meg, majd botnet programokat, bányászprogramokat, portolvasó eszközöket stb. tölt le, hogy irányítsa és rosszindulatúan kihasználja a hosztokat. Korábban a bányászat volt a banda fő tevékenységi területe, de a Tsunami botnet használata után DDoS-támadásokat is indíthat, így már nem csak rosszindulatú bányászatot végző banda.

A k4spreader cgo nyelven íródott, de van egy shell változata is, és az általános funkciója ugyanaz. Érthető, hogy a k4spreader a shell verzió bináris implementációja.

FORRÁS