Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动,旨在挖掘比特币,同时使用专门制作的rootkit以避免检测。
该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备,然后该设备下载其他脚本。在受害者设备执行下载的脚本之后,它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行,但这种僵尸网络不仅可能影响基于unix的系统,还可能影响使用Linux子系统的Windows 10系统。
本次发现的新活动使用了一个名为libprocesshider.so的共享库来隐藏挖掘过程,并且用一个专门制作的rootkit来避免检测。该恶意活动幕后者使用“Los Zetas”这个名字,暗指一个墨西哥犯罪组织,该组织被认为是该国最危险的贩毒集团之一。尽管如此,他们实际上不太可能是这个犯罪组织的一部分。此外,这个僵尸网络还连接到最大的IRC(Internet中继聊天)网络之一的UnderNet,讨论了包括恶意软件和网络犯罪在内的各种主题。
而且,僵尸网络在被发现时仍在开发中。但是,重要的是在攻击者危害更多设备之前阻止它。我们观察到,僵尸网络越来越多地使用xmrig和emech等已知的挖掘工具,在受害设备上挖掘比特币。这些工具已经在最近的挖矿活动中被检测到,例如VictoryGate和Monero mining开采了超过6000美元的利润。我们估计,如果Eleethub僵尸网络在一到两年的时间内扩张,它也可以赚取数千美元。
……
更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1214/
消息来源:PaloAltoNetworks, 译者:吴烦恼。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册