研究人员报告了一个新的、仍在开发中的基于Golang的僵尸网络,名为Kraken,它与它完全不同一个新生的僵尸网络:它使用SmokeLoader恶意软件加载器,正在像野火一样蔓延,并且已经为其运营商赚取了3,000美元/月的可观收入。ZeroFox威胁研究员StephanSimon在周三的一篇帖子中写道,虽然它的名字听起来很熟悉,但Kraken与2008年的同名僵尸网络没什么关系。根据Simon的帖子,Kraken利用SmokeLoader在目标机器上安装更多恶意软件,每次部署新的命令和控制(C2)服务器时都会收集数百个新机器人。ZeroFox于2021年10月下旬发现了此前不为人知的僵尸网络,该网络仍在积极发展中。ZeroFox表示,虽然它仍在开发中,但它已经能够从Windows主机中泄露敏感数据、下载和执行辅助有效负载、运行shell命令以及截取受害系统的屏幕截图。Anubis面板ZeroFox分享了Kraken面板初始版本的屏幕截图——如下所示,C2被命名为“Kraken面板”——功能最少。它提供基本统计数据、下载有效载荷的链接、上传新有效载荷的选项以及与一定数量的机器人交互的方式。“这个版本似乎不允许操作员选择他们与哪些受害者互动,”西蒙指出。然而,如下图所示,当前版本的Kraken的C2面板已经完全重新设计并更名为Anubis。“Anubis面板为操作员提供的信息比原来的Kraken面板多得多,”Simon说,“除了之前提供的统计数据之外,现在还可以查看命令历史记录和有关受害者的信息。”获取加密货币Kraken作者不断修补、添加和删除功能。此时,Kraken可以保持持久化、收集主机信息、下载和执行文件、运行shell命令、截屏以及窃取各种加密货币钱包,包括Zcash、Armory、Atomic、Bytecoin、Electrum、Ethereum、Exodus、Guarda和Jaxx自由。后来的迭代变得更加丰富,作者添加了命令目标的选择性选择(单独或按组,而早期版本只允许机器人操作员选择他们将瞄准多少受害者)、任务和命令历史、任务ID、正在发送的命令、命令应该发送给多少受害者,目标的地理位置,以及任务开始时间的时间戳。最初,从2021年10月到2021年12月,每次Kraken攻击时,RedLine信息窃取程序都会影响受害者的机器。RedLine是一种越来越流行的信息窃取程序,它从浏览器中窃取数据,例如保存的凭据、自动完成数据和信用卡信息。然而,该恶意软件的触角已经蔓延开来,不仅增加了其他中间商,还让其运营商发了大财。“随着Kraken背后的运营商不断扩大并收集更多受害者,ZeroFox已经开始观察到正在部署的其他通用信息窃取器和加密货币矿工,”西蒙的文章说。截至周三,僵尸网络的月收入约为3,000美元,如下面的屏幕截图所示。我们还不知道运营商计划如何处理新机器人及其信息窃取者正在收集的所有数据,ZeroFox研究人员得出结论:“目前尚不清楚运营商计划如何处理他们收集的被盗凭据,或创建这个新的僵尸网络的最终目标是什么。”安全建议ZeroFox提供了这些建议以防止Kraken破坏您的系统:确保您的防病毒和入侵检测软件是最新的所有补丁和规则集。为所有组织帐户启用双因素身份验证,以帮助减轻网络钓鱼和撞库攻击。维护定期安排的备份例程,包括异地存储和完整性检查。避免打开未经请求的附件,切勿点击可疑链接。尽可能记录和监控所有管理操作,以警惕任何可疑活动。检查网络日志是否存在数据泄露的潜在迹象。本文翻译自:https://threatpost.com/golang-botnet-pulling-in-3k-month/178509/如有转载请注明出处。
