بدافزار AbcBot، بات‌نت wormگونه جدید برای هدفگیری لینوکس

اخبار داغ فناوری اطلاعات و امنیت شبکه
takian.ir abcbot new evolving wormable botnet malware targeting linux 1
محققان تیم امنیتی Netlab Qihoo 360 جزئیات یک بات‌نت جدید در حال تکامل به نام "Abcbot" را منتشر کرده‌اند که در فضای سایبری با ویژگی‌های انتشار worm مانند برای آلوده کردن سیستم‌های لینوکس و راه‌اندازی حملات distributed denial-of-service (DDoS) علیه اهداف مشاهده شده است.

در حالی که اولین نسخه این بات‌نت به جولای ۲۰۲۱ باز می‌گردد، انواع جدیدی که به تازگی در ۳۰ اکتبر مشاهده شد به بروزرسانی‌ها و ویژگی‌های اضافی دیگری برای ضربه زدن به سرور‌های وب لینوکس که رمز‌های عبور ضعیفی دارند و در معرض آسیب‌پذیری‌های N-day هستند (از جمله اجرای سفارشی DDoS)، مجهز شده‌اند. این عملکرد نشان دهنده این است که بدافزار به طور مداوم در حال توسعه است.

همچنین بر اساس یافته‌های نت‌لب که در گزارشی توسط Trend Micro در اوایل ماه گذشته منتشر شده، خبر از حملاتی می‌دهد که هوآوی Cloud را با بدافزار‌های استخراج رمزارز و سرقت رمزارز هدف قرار می‌دهند. این نفوذ‌ها همچنین به این دلیل قابل توجه بودند که اسکریپت‌های shell مخرب به طور خاص فرآیند طراحی شده جهت نظارت و اسکن سرور‌ها برای مشکلات امنیتی و همچنین بازنشانی رمز‌های عبور کاربران به سرویس ابری Elastic را غیرفعال کردند.

اکنون به گفته این شرکت امنیت اینترنتی چینی، این اسکریپت‌های shell برای گسترش Abcbot استفاده می‌شوند. در مجموع شش نسخه از بات‌نت مذکور تا به امروز مشاهده شده است.

بدافزار پس از نصب بر روی یک میزبان در معرض خطر، اجرای مجموعه‌ای از مراحل را آغاز می‌کند که منجر به تغییر کاربری دستگاه آلوده به یک وب سرور می‌شود و علاوه بر گزارش اطلاعات سیستم به یک سرور command-and-control (C2)، توسط اسکن پورت‌های باز بدافزار را در دستگاه‌های جدید پخش می‌کند و بروزرسانی خود به هنگام در دسترس قرار گرفتن ویژگی‌های جدید توسط اپراتور‌های آن را دریافت می‌نماید.
takian.ir abcbot new evolving wormable botnet malware targeting linux 2
نکته جالب این است که نمونه بروزرسانی شده در ۲۱ اکتبر از فایل متن باز ATK Rootkit برای پیاده‌سازی فانکشن DDoS استفاده می‌کند؛ مکانیزمی که به گفته محققان "Abcbot نیاز دارد تا سورس کد را دانلود و کامپایل نموده و ماژول rootkit را قبل از انجام یک حمله DDoS بارگیری و لود نماید".

محققان خاطرنشان کردند: "این فرآیند به مراحل بسیار زیادی نیاز دارد و هر مرحله‌ای که ناقص باشد، منجر به شکست عملکرد DDoS می‌شود". همچنین‌ایشان در گزارشی گفتند که دشمن را به جایگزینی مؤلفه متفاوتی با یک ماژول حمله سفارشی که در نسخه بعدی که در ۳۰ اکتبر منتشر شده، سوق دادند و در پی آن مهاجمان به طور کامل rootkit ATK را کنار گذاشتند.

این یافته‌ها کمی بیش از یک هفته پس از آن به دست آمد که تیم امنیتی Netlab جزئیات بات‌نت Pink را فاش کرد که گمان می‌رود بیش از 1.6 میلیون دستگاه را که عمدتاً در چین هستند، با هدف راه‌اندازی حملات DDoS و درج آگهی‌ها در وب‌سایت‌های HTTP که توسط کاربران مشکوک بازدید می‌شوند، آلوده کرده است. در یک توسعه مرتبط، AT&T Alien Labs یک بدافزار جدید مبتنی بر Golang به نام «BotenaGo» را معرفی کرد که با استفاده از بیش از ۳۰ اکسپلویت برای حمله بالقوه به میلیون‌ها روتر و دستگاه اینترنت‌اشیا استفاده کرده است.

محققان در نتیجه این گزارش گرفتند: "فرآیند بروزرسانی در این شش ماه، ارتقاء مداوم ویژگی‌ها این بدافزار نیست، بلکه تبادلاتی بین فناوری‌های مختلف است. Abcbot به آرامی از دوران نوزادی خود به بلوغ در حال‌گذار است. ما این مرحله را شکل نهایی این بدافزار نمی‌دانیم و بدیهی است که در این مرحله، این بدافزار می‌تواند و می‌بایست در بسیاری از زمینه‌ها یا ویژگی‌هایی که در آن وجود دارد، توسعه یابد".

برچسب ها: cryptojacking, cryptocurrency mining, BotenaGo, ATK Rootkit, N-day, Huawei Cloud, Elastic, worm, Abcbot, استخراج رمزارز, Golang, ماژول, Linux, لینوکس, cybersecurity, رمزارز, Rootkit, AT&T, malware, DDoS, cryptocurrency, بدافزار, امنیت سایبری, Cyber Attacks, Bitcoin, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ