研究人员报告,有一个新的、仍在开发的、基于Golang的僵尸网络,名为Kraken,其强大程度完全不像是一个新生的僵尸网络:它使用SmokeLoader恶意软件加载程序,正像野火一样传播,并且已经为其运营商赚取了3,000美元/月的可观收入。
ZeroFox威胁研究员Stephan Simon在周三的一篇文章中写道,虽然它的名字听起来很熟悉,但Kraken与2008年的同名僵尸网络几乎没有关系。
根据西蒙的帖子,Kraken利用SmokeLoader在目标机器上安装更多恶意软件,每次部署新的命令和控制(C2)服务器时,都会收集数百个新机器人。
ZeroFox于2021年10月下旬发现了之前未知的僵尸网络,该僵尸网络仍在积极发展中。ZeroFox说,尽管它仍在开发中,但它已经能够从Windows主机中窃取敏感数据,能够下载和执行辅助有效负载,运行shell命令并截取受害者系统的屏幕截图。
Anubis面板
ZeroFox分享了Kraken面板初始版本的屏幕截图——如下所示,C2被命名为“Kraken面板”——功能很精简。它提供了基本统计数据、下载有效负载的链接、上传新有效负载的选项以及与特定数量的机器人交互的方式。
西蒙指出:“这个版本似乎不允许运营商选择与哪些受攻击者互动。”
但是,如下所示,Kraken的C2面板的当前版本已经完全重新设计并重命名为Anubis。“Anubis面板为操作员提供的信息比原来的Kraken面板要多得多,”西蒙说,“除了之前提供的统计数据外,现在还可以查看命令历史记录和有关受害者的信息。”
获取加密货币
Kraken的作者一直在修补、添加和删除功能。此时,Kraken可以保持持久性,收集主机信息,下载和执行文件,运行shell命令,截图,窃取各种加密货币钱包,包括Zcash、Armory、Atomic、Bytecoin、Electrum、Ethereum、Exodus、Guarda和Jaxx Liberty。
后来的迭代变得更加丰富,作者增加了对命令目标的选择性选择(单独或按组,而早期版本只允许机器人操作员选择他们要瞄准的受害者数量)、任务和命令历史、任务ID、正在发送的命令、命令应该发送给多少受害者、目标地理位置以及任务启动时间的时间戳。
起初,从2021年10月到2021年12月,每次Kraken袭击时,RedLine信息窃取程序都会对受害者的机器造成影响。RedLine是一种日益流行的信息窃取程序,它从浏览器中窃取数据,例如保存的凭据、自动完成数据和信用卡信息。
然而,该恶意软件已经展开了它的触角,不仅添加了其他中间人,还让它的经营者赚了一大笔钱。西蒙的文章称:“随着Kraken背后的运营商继续扩张并收集更多受害者,ZeroFox开始观察到正在部署的其他通用信息窃取者和加密货币矿工。”
截至周三,僵尸网络每月的收入约为3,000美元,如下面的屏幕截图所示。
我们目前尚不清楚运营商计划如何处理新机器人及其信息窃取者正在收集的所有数据,ZeroFox研究人员总结道:“目前尚不清楚运营商打算如何处理收集到的被盗凭据,或者创建这个新僵尸网络的最终目标是什么。”
安全建议
ZeroFox传递了这些建议,以防止Kraken扰乱您的系统:
- 确保防病毒和入侵检测软件与所有补丁程序和规则集都是最新的。
- 为所有组织帐户启用双重身份验证,以帮助减轻网络钓鱼和凭证填充攻击。
- 维护定期安排的备份例程,包括异地存储和完整性检查。
- 避免打开未经请求的附件,切勿单击可疑链接。
- 尽可能多地记录和监控所有管理操作,警惕任何可疑活动。
- 查看网络日志以了解是否存在数据泄露的潜在迹象。
本文翻译自:https://threatpost.com/golang-botnet-pulling-in-3k-month/178509/如若转载,请注明原文地址。