Orchard est le nom d'un nouveau botnet tirer parti des informations de transaction du compte du créateur de Bitcoin Satoshi Nakamoto pour générer DGA [Algorithmes de génération de domaine] noms de domaine. Ceci est fait pour dissimuler l'infrastructure de commande et de contrôle du botnet.
"En raison de l'incertitude des transactions Bitcoin, cette technique est plus imprévisible que l'utilisation des DGA courants générés par le temps, et donc plus difficile à défendre contre," mentionné 360 Chercheurs de Netlab dans un article de blog récent. Les chercheurs ont découvert la technique dans une famille de botnets qu'ils ont appelée Orchard. depuis Février 2021, le botnet a publié trois versions, et a changé de langage de programmation entre.
Pourquoi le botnet Orchard utilise-t-il DGA?
Le but de l'utilisation de la technique DGA est simple – installer divers autres logiciels malveillants sur la machine compromise. Le botnet est équipé d'un mécanisme de commande et de contrôle redondant contenant un domaine codé en dur et DGA, avec chaque version codant en dur un nom de domaine dynamique DuckDNS unique en C&C.
Le botnet Orchard est également capable de télécharger des informations sur les appareils et les utilisateurs et d'infecter les appareils USB pour se propager davantage.. Jusqu'ici, au moins 3,000 les machines ont été infectées, dont la plupart en Chine. Le logiciel malveillant a reçu plusieurs mises à jour importantes au cours de l'année écoulée, et est passé du langage Golang au C++ pour sa troisième variante. La version la plus récente contient des fonctionnalités pour lancer un programme de minage XMRig pour monnayer Monero (DVDRip) en exploitant les ressources informatiques de la victime.
En termes d'échelle d'infection, l'équipe de recherche a évalué que v1 et v2 ont des milliers de nœuds, et la v3 en a moins à cause de son apparition tardive. Les fonctions des trois versions sont les mêmes, Y compris:
- Téléchargement des informations sur l'appareil et l'utilisateur;
- Répondre aux commandes et télécharger pour exécuter la prochaine étape du module;
- Infecter les périphériques de stockage USB.
“Au moment de la rédaction, nous avons constaté que d'autres chercheurs avaient récemment remarqué cette utilisation des informations de transaction du compte bitcoin comme entrée DGA pour la v3. Les résultats de leur analyse concordaient avec les nôtres, mais ils n'ont pas remarqué qu'Orchard existait depuis longtemps,” le rapport c'est noté.