Orchard adlı yeni bir botnet, Bitcoin yaratıcısı Satoshi Nakamoto’nun komut ve kontrol (C2) altyapısını gizlemek için alan adları oluşturmak için hesap işlem bilgilerini kullanarak gözlemlendi.
“Bitcoin işlemlerinin belirsizliği nedeniyle, bu teknik, ortak zaman tarafından oluşturulan yöntemleri kullanmaktan daha tahmin edilemez. [domain generation algorithms]Qihoo 360’ın Netlab güvenlik ekibinden araştırmacılar söz konusu Cuma yazısında.
Orchard’ın Şubat 2021’den bu yana üç revizyondan geçtiği söyleniyor, botnet öncelikle kurbanın makinesine ek yükler dağıtmak ve C2 sunucusundan alınan komutları yürütmek için kullanılıyor.
Ayrıca, kötü amaçlı yazılımı yaymak için cihaz ve kullanıcı bilgilerini yüklemek ve USB depolama cihazlarına bulaşmak üzere tasarlanmıştır. Netlab’ın analizi, bugüne kadar çoğu Çin’de bulunan 3.000’den fazla ana bilgisayarın kötü amaçlı yazılım tarafından köleleştirildiğini gösteriyor.
Orchard ayrıca, üçüncü yinelemesinde C++’a geri dönmeden önce, uygulanması için Golang ile kısa bir deneme gerektiren, bir yılı aşkın bir süredir önemli güncellemelere maruz kaldı.
Bunun da ötesinde, en son sürüm, tehlikeye atılan sistemin kaynaklarını kötüye kullanarak Monero (XMR) basmak için bir XMRig madencilik programı başlatma özellikleri içeriyor.
Diğer bir değişiklik ise saldırılarda kullanılan DGA algoritmasının kullanımına ilişkindir. İlk iki varyant, alan adlarını oluşturmak için yalnızca tarih dizelerine güvenirken, daha yeni sürüm, kripto para cüzdan adresinden elde edilen bakiye bilgilerini kullanır.1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa“
Cüzdan adresinin Bitcoin’in madenci ödülü alan adresi olduğunu belirtmekte fayda var. Genesis BlokHangi olmuş 3 Ocak 2009 tarihinde ve Nakamoto tarafından tutulduğuna inanılıyor.
“Son on yılda, çeşitli nedenlerle günlük olarak bu cüzdana küçük miktarlarda bitcoin aktarıldı, bu nedenle değişkendir ve bu değişikliği tahmin etmek zordur, bu nedenle bu cüzdanın bakiye bilgisi aynı zamanda şu şekilde kullanılabilir. DGA girişi” dedi araştırmacılar.
Bulgular, araştırmacıların, potansiyel olarak dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için kaba kuvvet uygulayan SSH sunucuları tespit edilen RapperBot kod adlı yeni ortaya çıkan bir IoT botnet kötü amaçlı yazılımının örtüsünü kaldırmasıyla geldi.
