Yeni bir Golang tabanlı eşler arası (P2P) botnet, Mart 2022’de ortaya çıkmasından bu yana eğitim sektöründe Linux sunucularını aktif olarak hedef alıyor.
dublajlı panchan Akamai Security Research tarafından, kötü amaçlı yazılım “yayılabilirliği en üst düzeye çıkarmak ve kötü amaçlı yazılım modüllerini yürütmek için yerleşik eşzamanlılık özelliklerini kullanır” ve “yanal hareket gerçekleştirmek için SSH anahtarlarını toplar”.
Bir işlemi gerçekleştirmek için temel bir varsayılan SSH şifreleri listesine dayanan özelliklerle dolu botnet. sözlük saldırısı ve erişimini genişleterek, öncelikle bir bilgisayarın kaynaklarını kripto para madenciliği için ele geçirmek için tasarlanmış bir kripto hırsızı olarak işlev görür.
Siber güvenlik ve bulut hizmeti şirketi, Panchan’ın etkinliğini ilk kez 19 Mart 2022’de tespit ettiğini ve madencilik yapılandırmasını düzenlemek için ikili dosyada oluşturulan yönetim panelinde kullanılan dile dayanarak kötü amaçlı yazılımı olası bir Japon tehdit aktörüne bağladığını belirtti.
Panchan’ın çalışma zamanı sırasında ana bilgisayarda XMRig ve nbhash olmak üzere iki madenciyi dağıttığı ve yürüttüğü bilinmektedir; yenilik, madencilerin adli bir iz bırakmaktan kaçınmak için diske ayıklanmamasıdır.
Araştırmacılar, “Algılamayı önlemek ve izlenebilirliği azaltmak için, kötü amaçlı yazılım kripto madencilerini herhangi bir disk varlığı olmadan bellek eşlemeli dosyalar olarak bırakır” dedi. “Herhangi bir işlem izleme tespit ederse, kripto madenci işlemlerini de öldürür.”
Şimdiye kadar tespit edilen 209 virüslü akrandan 40’ının şu anda aktif olduğu söyleniyor. Güvenliği ihlal edilen makinelerin çoğu Asya’da (64), onu Avrupa (52), Kuzey Amerika (45), Güney Amerika (11), Afrika (1) ve Okyanusya (1) izliyor.
Kötü amaçlı yazılımın kökenine ilişkin ilginç bir ipucu, tehdit aktörünün bir OPSEC hatasının sonucudur ve “godmode” yönetici panelinde görüntülenen bir Discord sunucusuna olan bağlantıyı ortaya çıkarır.
Araştırmacılar, “Ana sohbet, Mart ayında gerçekleşen başka bir üyenin selamlaması dışında boştu” dedi. “Diğer sohbetler yalnızca sunucunun daha yüksek ayrıcalıklı üyelerine açık olabilir.”
