Исследователи установили «четкую» связь между ботнетом Abcbot и хорошо зарекомендовавшей себя киберпреступной группой, занимающейся криптоджекингом.

Впервые обнаруженный компанией Netlab 360 в июле 2021 г. ботнет Abcbot начинался как простой сканер, который использовал базовые атаки с заполнением учетных данных и известные эксплойты уязвимостей для компрометации уязвимых систем Linux.

Однако разработчики быстро обновили свое творение, включив в него механизмы самообновления, наборы эксплойтов, функциональность червей и в общей сложности девять функций распределенной атаки типа «отказ в обслуживании» (DDoS).

Тренд Микро сообщили, что после глубокой очистки скомпрометированных серверов добавляются новые профили вредоносных пользователей с высоким уровнем привилегий, с развернутыми средствами защиты от сбоев, чтобы предотвратить их изменение или удаление.

В то время как прошлые примеры активности ботнета показали, как он развернул собственное вредоносное ПО для майнинга криптовалюты, в понедельник новый анализ, опубликованный Cado Security, предполагает, что вредоносное ПО может вернуться к более традиционным маршрутам, а именно к DDoS-атакам.

По словам исследователей кибербезопасности, в настоящее время существует установленная связь между ботнетом и Xanthe, кампанией криптоджекинга, задокументированной Сиско Талос в декабре 2020 года.

Талос обнаружил Xanthe после того, как группа нацелилась на «приманку» основанную на Docker с помощью майнера криптовалюты Monero, XMRig. В то время Xanthe сосредоточилась на захвате вычислительных ресурсов уязвимых серверов для генерации криптовалюты и использовала скрипты bash для уничтожения вредоносных программ конкурентов, а также для поддержания стабильной работы.

Сравнив образцы ботнета Abcbot и Xanthe, Cado Security найдено сходство кода и функций.

График VirusTotal, основанный на известных индикаторах компрометации (IoC), стилистическом выборе и уникальных строках, выявил четыре хоста, которые пересекались в инфраструктуре и доставляли в кампании вредоносное ПО Xanthe.

Однако образцы также выявили недавние изменения в функциональности, в том числе закомментированные компоненты майнинга, которые предполагают, что майнинг «больше не может быть целью» Abcbot.

«Основываясь на этом анализе, мы считаем, что за Xanthe и Abcbot несет ответственность один и тот же субъект угрозы, который смещает свою цель с майнинга криптовалюты на скомпрометированных хостах на действия, более традиционно связанные с ботнетами, такие как DDoS-атаки», — заявили исследователи. «Мы подозреваем, что это будет не последняя кампания вредоносного ПО, которую мы анализируем от этого субъекта».