Akamai گزارش می دهد که در ماه مارس 2022, آ بات نت P2P جدید Panchan ظاهر شد, که سرورهای لینوکس را هدف قرار می دهد (عمدتا در بخش آموزشی) و ارز دیجیتال را استخراج می کند.
بگذارید یادآوری کنم که ما آن را نوشتیم اپراتورهای بات نت Clipminer "به دست آورده" بیشتر از $1.7 میلیون, و همچنین آن 61% تبلیغات مخرب کاربران ویندوز را هدف قرار می دهد.
پانچان در Go نوشته شده است و عملکرد یک کرم SSH را دارد, به این معنا که, می تواند حملات فرهنگ لغت را انجام دهد و از کلیدهای SSH برای حرکت سریع در یک شبکه آسیب دیده سوء استفاده کند.
در حقیقت, Panchan با یافتن و استفاده از کلیدهای SSH موجود، میزبان های جدید را آلوده می کند, و همچنین با استفاده از لاگین ها و رمزهای عبور brute force. پس از موفقیت در این مرحله, یک پوشه مخفی ایجاد می کند که در آن زیر نام پنهان می شود xinetd.
The malware then executes the binary and initiates an HTTPS POST to the Discord webhook, which is likely used to track the victim.
To gain a foothold in the system, Panchan copies itself to /bin/systemd-worker and creates a new systemd service to start after a reboot, به این معنا که, it disguises itself as a normal system service.
On the infected system, Panchan deploys and runs two miners, XMRig و nbhash, and the miners are not extracted to disk so as not to leave traces.
It is reported that in total, researchers were able to detect 209 peers in the Panchan P2P network, although only 40 of them are currently active, and these systems are mainly located in Asian countries.
The researchers say that most of the victims are related to the education sector, which matches the methods of distribution of malware and facilitates the growth of botent. The fact is that when conducting international academic research, ideal conditions are created for the spread of malware, because such projects are characterized by poor “digital hygiene” in the field of passwords and the sharing of SSH keys.
پیام بگذارید