Abcbot

محققان تیم امنیتی Netlab Qihoo 360 جزئیات یک بات‌نت جدید در حال تکامل به نام “Abcbot” را منتشر کرده‌اند[۱] که در سطح اینترنت با ویژگی‌های انتشار کرم مانند برای آلوده کردن سیستم‌های لینوکس و راه‌اندازی حملات denial-of-service یا DDoS علیه اهداف مشاهده شده است.

درحالی‌که انتشار اولین نسخه از این بات‌نت به ژوئیه ۲۰۲۱ بازمی‌گردد، انواع جدیدی که اخیراً در ۳۰ اکتبر مشاهده شد به به‌روزرسانی‌های اضافی برای ضربه زدن به سرورهای وب لینوکس با رمزهای عبور ضعیف مجهز شده‌اند و در معرض آسیب‌پذیری‌های روز N هستند، ازجمله پیاده‌سازی سفارشی DDoS. این عملکرد، نشان می‌دهد که این دژافزار درحال‌توسعه‌ی مداوم است.

یافته‌های نت‌لب همچنین بر اساس گزارشی از Trend Micro در اوایل ماه گذشته است که حملاتی را که Huawei Cloud را با دژافزارهای استخراج ارز دیجیتال هدف قرار می‌دهند، منتشر کرد[۲]. این نفوذها همچنین به این دلیل قابل‌توجه بودند که اسکریپت‌های shell مخرب به‌طور خاص، فرآیندِ طراحی‌شده برای نظارت و اسکن سرورها برای مسائل امنیتی و همچنین بازنشانی رمزهای عبور کاربران به سرویس ابری Elastic را غیرفعال کردند.

اکنون به گفته‌ی این شرکت امنیت اینترنتی چینی، این اسکریپت‌های shell برای گسترش Abcbot استفاده می‌شوند. درمجموع شش نسخه از این بات‌نت تا به امروز مشاهده شده است.

این دژافزار پس از نصب روی یک میزبان در معرض خطر، اجرای مجموعه‌ای از مراحل را آغاز می‌کند که منجر به تغییر کاربری دستگاه آلوده به‌عنوان یک وب سرور می‌شود، علاوه بر گزارش کردن اطلاعات سیستم به یک سرور فرمان و کنترل (C2)، این دژافزار به دستگاه‌های جدید با اسکن برای درگاه‌های باز و به‌روزرسانی خود به هنگام در دسترس قرار گرفتن ویژگی‌های جدید توسط اپراتورهای آن گسترش می‌یابد.

Abcbot

نکته جالب این است که این نمونه در ۲۱ اکتبر ۲۰۲۱ از روت کیت منبع باز ATK برای پیاده‌سازی تابع DDoS استفاده می‌کند[۳]، مکانیزمی که به گفته محققان، نیازمند Abcbot برای دانلود این کد منبع، کامپایل و اجرای ماژول rootkit قبل از انجام یک حمله DDoS است.”

محققان خاطرنشان کردند: “این فرآیند به مراحل بسیار زیادی نیاز دارد و هر مرحله‌ای که معیوب باشد منجر به شکست عملکرد DDoS می‌شود.” در نسخه بعدی که در ۳۰ اکتبر منتشر شد و به‌طور کامل rootkit ATK را رها کرد، دشمن را به جایگزینی جزء off-the-shelf با یک ماژول حمله سفارشی سوق داد.

این یافته‌ها کمی بیش از یک هفته پس‌ازآن به دست آمد که تیم امنیتی Netlab جزئیات یک بات‌نت Pink را فاش کرد[۴] که گمان می‌رود بیش از ۱٫۶ میلیون دستگاه را که عمدتاً در چین واقع شده‌اند با هدف راه‌اندازی حملات DDoS و درج آگهی‌ها در وب‌سایت‌های HTTP که توسط افراد غیرقانونی بازدید می‌شود، آلوده کرده است. در یک توسعه مرتبط، AT&T Alien Labs یک دژافزار جدید Golang به نام «BotenaGo» را معرفی کرد[۵] که با استفاده از بیش از ۳۰ اکسپلویت برای حمله بالقوه به میلیون‌ها روتر و دستگاه اینترنت اشیا کشف شده است.

محققان نتیجه گرفتند: «فرآیند به‌روزرسانی در این شش ماه نه‌چندان به‌عنوان ارتقای مداوم ویژگی‌ها، بلکه مبادله بین فناوری‌های مختلف است». “Abcbot به‌آرامی از دوران نوزادی به بلوغ می‌رسد. ما این مرحله را شکل نهایی نمی‌دانیم، بدیهی است که بسیاری از زمینه‌های بهبود یا ویژگی‌هایی وجود دارد که باید در این مرحله توسعه یابند.”

 

منابع

[۱] https://blog.netlab.360.com/abcbot_an_evolving_botnet_en

[۲] https://www.trendmicro.com/en_us/research/21/j/actors-target-huawei-cloud-using-upgraded-linux-malware-.html

[۳] https://github.com/millken/kdev/tree/master/4atk%201.05new

[۴] https://thehackernews.com/2021/11/researchers-uncover-pink-botnet-malware.html

[۵] https://cybersecurity.att.com/blogs/labs-research/att-alien-labs-finds-new-golang-malwarebotenago-targeting-millions-of-routers-and-iot-devices-with-more-than-30-exploits

[۶] https://thehackernews.com/2021/11/abcbot-new-evolving-wormable-botnet.html

[fusion_text