Аналитики Akamai представили отчет о новом ботнете KmsdBot, который использует SSH для проникновения в системы жертв. Эта малварь, написанная на Go, занимается майнингом криптовалюты, а также проведением DDoS-атак. Заражение KmsdBot затрагивает самые разные компании, от игровых, до производителей люксовых автомобилей и ИБ-фирм.
«Ботнет заражает системы через SSH, эксплуатируя слабые учетные данные для входа в систему, — рассказывает специалист Akamai Ларри Кэшдоллар. — При этом вредоносное ПО не сохраняет постоянное присутствие в зараженной системе, стараясь избежать обнаружения».
Свое название KmsdBot получил благодаря исполняемому файлу kmsd.exe, который загружается с удаленного сервера хакеров после успешной компрометации. Известно, что вредонос поддерживает несколько архитектур, включая Winx86, Arm64, mips64 и x86_64. Исследователи отмечают, что KmsdBot умеет выполнять операции сканирования и распространять самого себя дальше, используя для этого загружаемый извне список комбинаций логинов и паролей.
По информации Akamai, первой известной целью этой малвари стала игровая компания FiveM, разрабатывающая многопользовательский мод для Grand Theft Auto V, который позволяет игрокам создавать кастомные серверы Grand Theft Auto Online. Также были замечены атаки на компании, занимающиеся безопасностью и люксовые автомобильные бренды.
Известно, что DDoS-атаки KmsdBot относятся к типу Layer 4 и 7, то есть строятся на запросах TCP, UDP, HTTP GET и POST .
Во время наблюдений за ботнетом исследователи не видели активности, связанной с майнингом, ботнет занимался лишь DDoS-атаками. Однако у малвари есть функциональность для майнинга: в коде была обнаружена команда ./ksmdr -o pool.hashvault.pro, где ksmdr является двоичным файлом Xmrig, который был переименован. Так как ботнет пока еще находится в разработке, очевидно, эти функции пока не работают как должно.
«Этот ботнет — отличный пример сложности систем безопасности и того, как они развиваются, — говорит Кэшдоллар. — Начавшись как простой бот для игрового приложения, в итоге KmsdBot превратился в угрозу для крупных люксовых брендов».
Источник: xakep