Boomgaard is de naam van een nieuwe botnet profiteren van de transactie-informatie van Satoshi Nakamoto, de maker van Bitcoin, om DGA te genereren [Algoritmen voor het genereren van domeinen] domeinnamen. Dit wordt gedaan om de command-and-control-infrastructuur van het botnet te verbergen.
“Vanwege de onzekerheid van Bitcoin-transacties, deze techniek is onvoorspelbaarder dan het gebruik van de gebruikelijke tijdgegenereerde DGA's, en dus moeilijker te verdedigen tegen," zei 360 Netlab-onderzoekers in een recente blogpost. De onderzoekers ontdekten de techniek in een familie van botnets die ze Orchard . noemden. sinds februari 2021, het botnet heeft drie versies uitgebracht, en heeft tussendoor van programmeertaal gewisseld.
Waarom gebruikt het Orchard-botnet DGA??
Het doel van het gebruik van de DGA-techniek is eenvoudig – het installeren van verschillende andere malware op de gecompromitteerde machine. Het botnet is uitgerust met een redundant command-and-control-mechanisme met daarin een hardcoded domein en DGA, bij elke versie wordt een unieke dynamische DuckDNS-domeinnaam hard gecodeerd als C&C.
Het Orchard-botnet kan ook apparaat- en gebruikersinformatie uploaden en USB-apparaten infecteren om zich verder te verspreiden. Zover, minstens 3,000 machines zijn geïnfecteerd, waarvan de meeste in China. De malware heeft het afgelopen jaar meerdere belangrijke updates ontvangen, en is overgestapt van de Golang-taal naar C++ voor zijn derde variant. De meest recente versie bevat functies om een XMRig-mijnprogramma te starten om Monero te minen (DVDRip) door gebruik te maken van de computerbronnen van het slachtoffer.
In termen van infectieschaal, het onderzoeksteam evalueerde dat v1 en v2 duizenden nodes hebben, en v3 heeft minder vanwege zijn late verschijning. De functies van de drie versies zijn hetzelfde, Inclusief:
- Apparaat- en gebruikersinformatie uploaden;
- Reageren op opdrachten en downloaden om de volgende fase van de module uit te voeren;
- USB-opslagapparaten infecteren.
“Op het moment van schrijven, we ontdekten dat andere onderzoekers onlangs dit gebruik van bitcoin-accounttransactie-informatie als DGA-invoer voor v3 hadden opgemerkt. De resultaten van hun analyse kwamen overeen met de onze, maar ze merkten niet dat Orchard eigenlijk al heel lang bestond,” het verslag bekend.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: