Исследователи в области кибербезопасности выявили новый ботнет, получивший название Zergeca. Эта сеть способна осуществлять распределенные атаки типа "отказ в обслуживании" (DDoS). Ботнет написан на языке программирования Golang и получил свое имя благодаря ссылке на строку с именем "ootheca", присутствующую на серверах командования и управления (C2).
Помимо стандартных функций DDoS-ботнета, Zergeca обладает дополнительными возможностями, такими как проксирование, сканирование, самообновление, сохранение, передача файлов, обратная оболочка и сбор конфиденциальной информации об устройстве.
Zergeca использует DNS поверх HTTPS (DoH) для разрешения системы доменных имен (DNS) сервера C2 и менее известную библиотеку под названием Smux для связи C2.
Существуют предположения, что злоумышленники, стоящие за ботнетом, активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд. Также есть основания полагать, что IP-адрес C2 84.54.51. 82 ранее использовался для распространения ботнета Mirai примерно в сентябре 2023 года.
Атаки, организованные ботнетом, в основном ACK flood DDoS-атаки, были направлены на Канаду, Германию и США в период с начала по середину июня 2024 года.
Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации со скомпрометированного устройства на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование, обратную оболочку и другие функции.
"Встроенный список конкурентов показывает знакомство с распространенными угрозами Linux", - отметили в XLab. "Такие методы, как модифицированная упаковка UPX, шифрование XOR для конфиденциальных строк и использование DoH для скрытия разрешения C2, демонстрируют глубокое понимание тактики уклонения".
Помимо стандартных функций DDoS-ботнета, Zergeca обладает дополнительными возможностями, такими как проксирование, сканирование, самообновление, сохранение, передача файлов, обратная оболочка и сбор конфиденциальной информации об устройстве.
Zergeca использует DNS поверх HTTPS (DoH) для разрешения системы доменных имен (DNS) сервера C2 и менее известную библиотеку под названием Smux для связи C2.
Существуют предположения, что злоумышленники, стоящие за ботнетом, активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд. Также есть основания полагать, что IP-адрес C2 84.54.51. 82 ранее использовался для распространения ботнета Mirai примерно в сентябре 2023 года.
Атаки, организованные ботнетом, в основном ACK flood DDoS-атаки, были направлены на Канаду, Германию и США в период с начала по середину июня 2024 года.
Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации со скомпрометированного устройства на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование, обратную оболочку и другие функции.
"Встроенный список конкурентов показывает знакомство с распространенными угрозами Linux", - отметили в XLab. "Такие методы, как модифицированная упаковка UPX, шифрование XOR для конфиденциальных строк и использование DoH для скрытия разрешения C2, демонстрируют глубокое понимание тактики уклонения".