Mart 2022 civarında Wild'da Panchan adında yeni bir eşler arası botnet ortaya çıktı ve eğitim sektöründeki Linux sunucularını kripto para birimini benimsedi.
Panchan, sözlük saldırıları ve SSH anahtar istismarı gibi SSH solucan fonksiyonları ile güçlendirilir.
Aynı zamanda, bellek eşlenmiş madencileri kullanmak ve madencilik modülünü hemen durdurmak için süreç izlemeyi dinamik olarak tespit etmek gibi güçlü algılama önleme özelliklerine sahiptir.
Analistleri yeni tehdidi fark eden ve Blewing Computer ile paylaşılan bir raporda analiz eden Akamai'ye göre, bu yeni projenin arkasındaki tehdit oyuncusu büyük olasılıkla Japon.
Panchan, farklı sistem mimarilerini hedeflemeyi kolaylaştıran çok yönlü bir programlama dili olan Golang'da yazılmıştır.
Mevcut SSH tuşlarını veya kaba kullanıcı kullanıcı adlarını ve şifreleri bularak yeni ana bilgisayarlara bulaşır. Bu aşamada başarıdan sonra, "Xinetd" adı altında kendini gizlemek için gizli bir klasör oluşturur.
Son olarak, kötü amaçlı yazılım ikili yürütür ve muhtemelen kurbanı izlemek için kullanılan bir Discord Webhook'a bir HTTPS sonrası işlem başlatır.
Kalıcılık oluşturmak için, kötü amaçlı yazılım kendisini "/bin/systemd-işçi" olarak kopyalar ve yeniden başlatıldıktan sonra piyasaya sürülmesi için yeni bir Systemd hizmeti oluşturur ve meşru bir sistem hizmeti olarak maskelenir.
Botnet ve C2 arasındaki iletişim şifrelenmez ve TCP bağlantı noktası 1919 kullanır. Kötü amaçlı yazılımlarla ilgili yapılandırmalar, madenci yapılandırması veya eş listesinin güncellenmesi ile ilgilidir.
Kötü amaçlı yazılımda ayrıca, yalnızca rakiplerin sahip olduğu özel bir anahtar kullanılarak erişilebilen bir yönetici paneli olan bir "Godmode" da bulunur.
Akamai, bu güvenlik ölçüsünü kaldırmak için programı değiştirdi ve yönetici panelinin bir yapılandırmaya genel bakış, ana bilgisayar durumu, eş istatistikleri ve madenci ayarları bulunduğunu, aynı zamanda operatörlere güncelleme seçenekleri sunduğunu buldu.
Madenci ikili dosyaları, XMRIG ve NBHASH, dosyasızdır, baz64 formlarından kod çözülür ve bellekte çalışma zamanı sırasında yürütülür, böylece diske asla dokunmazlar.
Panchan, madencilik havuzları ve cüzdanları için Nicehash kullanıyor, bu yüzden Akamai'nin analistleri, halka açık bir blok zincirinde olmadıkları için işlemleri izleyemiyor veya madencilik operasyonunun, kârın vb.
Kötü amaçlı yazılım ayrıca, işlem sonlandırma sinyallerini algılayan ve işlenmeyen Sigkill olmadığı sürece bunları yok sayan bir öldürme karşıtı sistem içerir.
Akamai, kötü amaçlı yazılımları haritalamak için tersine mühendislik yaptı ve 40'ı şu anda aktif olan 209 uzlaştırılmış sistem buldu.
Kurbanların çoğu eğitim sektöründe, muhtemelen Panchan'ın yayılma yöntemleriyle eşleştiği ve hızlı büyümesini kolaylaştırdığı için.
Uluslararası akademik araştırma işbirliklerine uyum sağlamak için zayıf şifre hijyeni ve aşırı SSH anahtar paylaşımı, botnet için çoğalması için ideal koşullar yaratır.
Bu hipotez daha da İspanya, Tayvan ve Hong Kong'daki enfekte üniversite kümelerinin bulguları ile desteklenmektedir.
Etki, eğitim enstitülerinde araştırma çalışmalarını engelleyebilecek veya kamuya dönük çeşitli hizmetlerin sağlanmasına müdahale edebilecek kaynak kaçırma ile ilgilidir.
Bu tür saldırıları önlemek için Akamai, potansiyel hedeflerin karmaşık şifreler kullandığını, tüm hesaplara MFA eklediğini, SSH erişimini sınırladığını ve VM kaynak etkinliğini sürekli olarak izlediğini önerir.
Yeni Malibot Android Bankacılık Kötü Yazılım Kripto Madenci olarak yayılıyor
Bilgisayar korsanları, kobalt grevini dağıtmak için üç yaşındaki Telerik kusurlarını sömürüyor
Linux Botnets artık kritik Atlassian Confluence Bug'dan yararlanıyor
QBOT kötü amaçlı yazılım artık kimlik avı saldırılarında Windows MSDT sıfır gününü kullanıyor
Watchdog Hacking Group yeni Docker Cryptojacking Kampanyası başlattı
Kaynak: Bleeping Computer