24/06/24
Исследователи из команды безопасности XLab недавно обнаружили в киберпространстве новый ботнет Zergeca, отличающийся своими передовыми возможностями.
20 мая 2024 года XLab зафиксировала подозрительный ELF-файл в каталоге «/usr/bin/geomi» на платформе Linux одного из своих клиентов. Этот файл, упакованный с помощью модифицированного UPX, долгое время оставался незамеченным антивирусными программами, пишет Securitylab.
После анализа исследователи выяснили, что это ботнет, реализованный на Golang. А учитывая то, что в его C2-инфраструктуре использовалась строка «ootheca», напоминающая о зергах из StarCraft, специалисты XLab назвали ботнет Zergeca, подчёркивая его агрессивный и стремительный характер распространения.
Zergeca поддерживает шесть методов DDoS-атак, а также функции проксирования, сканирования, самообновления, сохранения постоянства, передачи файлов, обратной оболочки и сбора конфиденциальной информации.
Zergeca использует несколько методов DNS-разрешения, включая DNS over HTTPS (DOH). Также применяется библиотека Smux для C2-протокола, обеспечивающая шифрование с помощью XOR. Это позволяет ботнету эффективно скрывать свою деятельность и усложняет его обнаружение.
Анализ показал, что IP-адрес 84.54.51.82, используемый для C2, с сентября 2023 года обслуживал два ботнета Mirai, что говорит о накопленном опыте его создателей. Основные методы распространения Zergeca включают эксплуатацию слабых паролей Telnet и уязвимостей CVE-2022-35733 и CVE-2018-10562.
С начала июня 2024 года Zergeca нацелился на Канаду, США и Германию. Основным типом атаки был ackFlood (atk_4), а жертвами становились различные автономные системы (ASN). Zergeca работает на архитектуре x86-64 и нацелена на платформу Linux, однако в коде ботнета исследователи также обнаружили упоминания Android и Windows, что намекает на будущие сценарии развития вредоноса.
Zergeca достигает постоянства на скомпрометированных устройствах, добавляя системную службу «geomi.service», что обеспечивает автоматический запуск процесса при перезагрузке устройства. Для шифрования строк используется XOR с жёстко закодированным ключом.
Ботнет включает модуль Silivaccine, который устраняет конкурентные угрозы, такие как майнеры и трояны, обеспечивая монополию на заражённом устройстве и использование максимальной производительности.
Открытие Zergeca демонстрирует непрерывную эволюцию и усложнение ботнетов. Благодаря своим передовым функциям, обеспечению постоянства и гибкости, Zergeca представляет серьёзную угрозу. Специалисты в области кибербезопасности должны оставаться бдительными и принимать проактивные меры для выявления и смягчения таких угроз.
