根据研究人员的报告,有一个新的,仍在开发中Golang僵尸网络,名为Kraken,它的全不像一个新的僵尸网络:它使用它SmokeLoader恶意软件加载程序,正像野火一样传播,并且已经为其运营商赚取了3,000美元/月的可观收入。
ZeroFox威胁研究员Stephan Simon在周三的一篇文章中,它的名字听起来很熟悉,但是Kraken与2008年同名僵尸网络无关。
根据西蒙的帖子,Kraken利用SmokeLoader每次部署新的命令和控制,在目标机器上安装更多恶意软件(C2)数百个新机器人将被收集到服务器中。
ZeroFox僵尸网络于2021年10月底发现,此前未知的僵尸网络仍在积极发展。ZeroFox说,虽然它还在开发中,但它已经能够从Windows在主机中窃取敏感数据,可以下载和执行辅助有效负载,运行shell命令并截取受害者系统的屏幕截图。
Anubis面板
ZeroFox分享了Kraken屏幕截图的初始版本如下所示,C2被命名为“Kraken面板-功能非常简单。它提供了基本的统计数据,下载有效负载的链接、上传新有效负载的选项以及与特定数量的机器人交互。
这个版本似乎不允许运营商选择与受攻击者互动。
但如下所示,Kraken的C2当前版本的面板已经完全重新设计并重命名Anubis。“Anubis面板为操作员提供的信息比原来的更多Kraken西蒙说:除了之前提供的统计数据外,还可以查看命令的历史记录和相关受害者的信息。
获取加密货币
Kraken作者一直在修复、添加和删除功能。Kraken可保持持久,收集主机信息,下载和执行文件,运行shell命令、截图、窃取各种加密货币钱包,包括Zcash、Armory、Atomic、Bytecoin、Electrum、Ethereum、Exodus、Guarda和Jaxx Liberty。
后来,迭代变得更加丰富,作者增加了对命令目标的选择(单独或组,早期版本只允许机器人操作员选择他们想要瞄准的受害者数量)、任务和命令历史、任务ID、正在发送的命令和命令应该发送给受害者、目标地理位置和任务启动时间的时间戳。
起初,从2021年10月到2021年12月,每次Kraken袭击时,RedLine信息窃取程序会影响受害者的机器。RedLine从浏览器中窃取数据,如保存凭证、自动完成数据和信用卡信息,是一种日益流行的信息窃取程序。
然而,恶意软件已经展开了它的触角,不仅增加了其他中间人,而且还让它的运营商赚了很多钱。西蒙的文章说:随着Kraken背后的运营商继续扩张和收集更多受害者,ZeroFox开始观察正在部署的其他通用信息窃取者和加密货币矿工。
截至周三,僵尸网络的月收入约为3000美元,如下图所示。
目前还不清楚运营商计划如何处理新机器人及其信息窃取者正在收集的所有数据,ZeroFox研究人员总结道:目前还不清楚运营商打算如何处理收集到的被盗凭证,或者创建这个新僵尸网络的最终目标是什么。
安全建议
ZeroFox传达这些建议以防止这些建议Kraken扰乱您的系统:
- 确保防病毒和入侵检测软件以及所有补丁程序和规则集都是最新的。
- 双重身份验证用于所有组织账户,以帮助减少网络钓鱼和凭证填充攻击。
- 定期安排的备份例程,包括异地存储和完整性检查。
- 避免打开未经要求的附件,不要单击可疑链接。
- 尽可能多地记录和监控所有管理操作,警惕任何可疑活动。
- 查看网络日志,了解数据泄露的潜在迹象。
本文翻译自:https://threatpost.com/golang-botnet-pulling-in-3k-month/178509/如果转载,请注明原始地址。