サイバーセキュリティ会社のZeroFoxによると、過去数か月にわたって、Windowsをターゲットとする新しいGolangベースのボットネットが、新しく展開されたすべてのコマンドアンドコントロール(C&C)サーバーを備えた何百もの新しいシステムを捕らえてきました。
吹き替えの クラーケン、ボットネットは、侵害されたシステムにセカンダリペイロードをダウンロードして実行できますが、永続性を維持することに加えて、情報の収集、シェルコマンドの実行、暗号通貨の盗難、スクリーンショットの撮影も可能です。
Krakenは、10年2021月XNUMX日にGitHubに最初に登場し、ソースコードは観測されたすべてのバイナリよりも古いものでした。 ただし、ボットネットオペレーターがGitHubアカウントを作成したのか、単にコードを盗んだのかは不明です。
ボットネットは、SmokeLoaderバックドアを介して拡散します。 当初は、自己解凍型RAR SFXファイルとしてデプロイされていましたが、現在はバックドアがKrakenを直接ダウンロードします。
ボットネットは、XNUMXつのコマンドを実行して検出を回避しようとします。XNUMXつはインストールフォルダをスキャンしないようにMicrosoft Defenderに指示し、もうXNUMXつはコピーされたEXEファイルに隠し属性を設定します。
さらに、Krakenは、被害者がログインするたびに実行されるようにする特定のWindowsRunレジストリキーを設定します。
[読んだ: 洗練されたFritzFrogP2Pボットネットが長い休憩の後に戻ってきます]
ボットネットは単純な機能セットを備えていますが、そのオペレーターは、情報収集機能を含む新しい機能をマルウェアに追加していることが観察されました。 また、セカンダリペイロードとボットアップデートをダウンロードして実行することもできます。
この脅威により、オペレーターはシェルコマンドを実行でき、実行時にスクリーンショットを撮ることができます。 観察されたビルドの一部は、削除されたSSHブルートフォーシング機能を備えていました。
最近、Krakenの開発者は、さまざまな暗号通貨ウォレットから資金を盗む機能を追加しました。 暗号通貨マイニングプールから取得したデータは、ボットネットのオペレーターが月に約3,000ドルを稼いでいることを示しています。
2021年XNUMX月以降、サイバー犯罪者は管理ダッシュボードの複数のバージョンを作成しました。新しいバージョンでは、完全に再設計され、より多くの統計と情報、およびターゲットを選択する際の追加オプションが提供されています。
ZeroFoxによると、Krakenのオペレーターは配信にSmokeLoaderを使用しているため、C&Cサーバーを変更するたびに何百もの新しいボットがネットワークに追加されています。
「2021年2021月からXNUMX年XNUMX月にかけてKrakenの犠牲者に送信されたコマンドを監視すると、オペレーターは情報スティーラー、特にRedLineスティーラーのプッシュに完全に集中していたことが明らかになりました。 収集された盗まれたクレデンシャルを操作者が何をしようとしているのか、またはこの新しいボットネットを作成するための最終目標は何であるのかは現在不明です」とZeroFoxは結論付けています。
関連する 古い暗号ジャックキャンペーンにリンクされたAbcbotDDoSボットネット
関連する Miraiベースの「マンガ」ボットネットが最近のTP-Linkの脆弱性を標的
関連する 大規模なAndroidボットネットがスマートTV広告エコシステムにヒット