Ботнет активен с марта 2022 года.
Согласно сообщению команды исследователей безопасности компании Akamai , Panchan использует параллелизм в системе жертвы, пытаясь быстро распространиться и выполнить как можно больше вредоносных модулей. Вредонос также собирает SSH-ключи для бокового перемещения. Ботнет проводит словарные атаки и быстро захватывает системы, используя список стандартных SSH-паролей.
Akamai Security Research отметила, что впервые заметила активность Panchan 19 марта 2022 года. Специалисты приписали атаки с использованием вредоноса японским хакерам и заявили, что он был написан на Golang и встроен в двоичный файл. ПО словам экспертов, Panchan работает как криптоджекер, использующий устройства жертвы для добычи криптовалют.
В системах жертв Panchan развертывает майнеры XMRig и nbhash. Чтобы оставаться незамеченной, вредоносная программа завершает процессы криптомайнеров, если пользователь следит за процессами. Кроме того, Panchan не оставляет никаких следов на диске, так как запускает майнеры в виде файлов, привязанных к памяти.
Из 209 зараженных узлов, 40 активны в данный момент. Большая часть зараженных узлов находится в Азии (64), за ней следуют Европа (52), Северная Америка (45), Южная Америка (11), Африка (1) и Океания (1).
Интересной подсказкой о происхождении Panchan стала промашка со стороны злоумышленников, которые раскрыли ссылку на свой Discord-сервер. "Главный чат был пуст, в нем было только мартовское приветствие одного из пользователей сервера", – говорят специалисты Akamai. "Скорее всего, другие чаты доступнs пользователям c особыми привелегиями на сервере".
Источник: securitylab