Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Эксперты обнаружили новый ботнет для DDoS-атак на базе Golang

4
1 мин
Эксперты по кибербезопасности обнаружили новый ботнет под названием Zergeca, способный проводить распределённые атаки типа «отказ в обслуживании» (DDoS). Ботнет, написанный на Golang, получил такое название из-за ссылки на строку с именем «ootheca», присутствующую на серверах управления и контроля (C2) («ootheca[.]pw» и «ootheca[.]top»). Аналитики из компании QiAnXin XLab отмечают, что функционально Zergeca — это не просто типичный DDoS-ботнет; помимо поддержки шести различных методов атак, он также обладает возможностями проксирования, сканирования, самообновления, сохранения, передачи файлов, обратного шелла и сбора конфиденциальной информации об устройствах. Ещё одной примечательной особенностью ботнета Zergeca является то, что он использует DNS-over-HTTPS (DoH) для выполнения разрешения системы доменных имен (DNS) сервера C2 и применяет менее известную библиотеку Smux для коммуникаций сервера управления и контроля. Аналитики также уверены, что есть данные, позволяющие предположить,
Kevin Horvat (unsplash)
Kevin Horvat (unsplash)

Эксперты по кибербезопасности обнаружили новый ботнет под названием Zergeca, способный проводить распределённые атаки типа «отказ в обслуживании» (DDoS). Ботнет, написанный на Golang, получил такое название из-за ссылки на строку с именем «ootheca», присутствующую на серверах управления и контроля (C2) («ootheca[.]pw» и «ootheca[.]top»).

Аналитики из компании QiAnXin XLab отмечают, что функционально Zergeca — это не просто типичный DDoS-ботнет; помимо поддержки шести различных методов атак, он также обладает возможностями проксирования, сканирования, самообновления, сохранения, передачи файлов, обратного шелла и сбора конфиденциальной информации об устройствах.

Ещё одной примечательной особенностью ботнета Zergeca является то, что он использует DNS-over-HTTPS (DoH) для выполнения разрешения системы доменных имен (DNS) сервера C2 и применяет менее известную библиотеку Smux для коммуникаций сервера управления и контроля.

Аналитики также уверены, что есть данные, позволяющие предположить, что вредоносное ПО активно развивается и обновляется для поддержки новых команд. Более того, уточняется, что IP-адрес C2 84.54.51[.]82 ранее использовался для распространения ботнета Mirai примерно в сентябре 2023 года. С 29 апреля 2024 года тот же IP-адрес начал использоваться в качестве сервера C2 для нового ботнета, что повышает вероятность того, что злоумышленники накопили опыт эксплуатации ботнетов Mirai до создания Zergeca.

Атаки ботнета, в основном DDoS-атаки с использованием ACK-флуда, были направлены на Канаду, Германию и США в период с начала по середину июня 2024 года.

Функции Zergeca охватывают четыре отдельных модуля: сохранение, прокси, silivaccine и «зомби», для настройки сохранения путём добавления системной службы, реализации проксирования, удаления конкурирующих вредоносных программ-майнеров и бэкдоров, а также получения исключительного контроля над устройствами, работающими под управлением архитектуры ЦП x86-64, и управления основными функциями ботнета.

Оригинал публикации на сайте CISOCLUB: "Эксперты обнаружили новый ботнет для DDoS-атак на базе Golang".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются