Az új Golang-alapú Zergeca botnet erőteljes DDoS-támadásokra képes

Kutatók azonosítottak egy új botnetet, a Zergecát, amely képes elosztott szolgáltatásmegtagadó (DDoS) támadásokat indítani. Ez a botnet nem pusztán egy tipikus DDoS botnet, mivel hat különböző támadási módszert támogat, és proxy, szkennelés, önfrissítés, perzisztencia fenntartása, fájlok átvitele, reverse shell és érzékeny eszközinformációk gyűjtése is a képességei közé tartozik. A Zergeca emellett DNS-over-HTTPS (DoH) szolgáltatást használ a tartománynévrendszer (DNS) feloldásához, és a parancs- és vezérlés (C2) kommunikációhoz a Smux nevű könyvtárat használja. A rosszindulatú szoftver vélhetően aktív fejlesztés alatt áll, hogy új parancsokat támogasson. A 84.54.51[.]82 C2 IP-cím használata, amely korábban a Mirai botnet terjesztéséhez kapcsolódott, arra utal, hogy a Zergeca mögött álló fenyegető szereplők korábban már rendelkeztek tapasztalattal a Mirai botnetek működtetésében.

2024 június eleje és közepe között a Zergeca támadásokat hajtott végre Kanada, Németország és az Egyesült Államok ellen, ami a fenyegetés széles körű felismeréséhez vezetett. A Zergeca figyelemre méltó jellemzője a négy modulból álló architektúrája: perzisztencia, proxy, silivaccine és zombi. Ezek a modulok számos funkciót megkönnyítenek, például a perzisztencia beállítását, a proxy megvalósítását, a konkurens kártevők kiiktatását, az x86-64 CPU architektúrát működtető eszközök kizárólagos vezérlését és a központi botnetfunkciók kezelését. Különösen a zombi modul játszik döntő szerepet azáltal, hogy érzékeny információkat továbbít a kompromittált eszközről a C2 szerverre, és többek között megkönnyíti a hatféle DDoS-támadás egyikének végrehajtását, a szkennelést és a reverse shell funkciót. Kiemelve, hogy a fejlesztők jól ismerik a gyakori Linux-fenyegetéseket és a jól ismert kitérési taktikákat, a kutatók felhívták a figyelmet arra, hogy a botnet olyan technikákat használ, mint a módosított UPX-csomagolás, az XOR-titkosítás és a DoH a C2 feloldás elfedésére.

(forrás)