Navodno, prijetnje nude na prodaju kompletan izvorni kod sofisticiranog botneta Malware-as-a-Service (MaaS) .
Ovaj napredni maliciozni okvir predstavlja značajnu eskalaciju sajber kriminalnih sposobnosti, koristeći legitimne tehnologije poslovnog nivoa i blockchain integraciju kako bi stvorio visoko otpornu i skalabilnu platformu za napad.
Prikrivena arhitektura botneta
Tehnička osnova botneta pokazuje izuzetnu sofisticiranost, izgrađenu na nizu legitimnih softverskih okvira koje sigurnosna rješenja često previđaju.
ThreatMon izvještava da arhitektura malicioznog softvera koristi Node.js kao primarno okruženje za izvršavanje, pružajući kompatibilnost između platformi i opsežnu podršku biblioteka za maliciozne operacije.
Okvir je dodatno poboljšan Next.js-om, web okvirom zasnovanim na Reactu koji omogućava kreiranje sofisticiranih komandnih interfejsa i administrativnih kontrolnih ploča za operatere botneta.
Okosnica infrastrukture oslanja se na PostgreSQL za robusno upravljanje podacima i Redis za visokoučinkovito keširanje i upravljanje sesijama.
Ova kombinacija baza podataka poslovnog nivoa omogućava hakerima da efikasno upravljaju operacijama botneta velikih razmjera, pohranjuju informacije o žrtvama i koordiniraju distribuisane napade na hiljade kompromitovanih mašina.
Korištenje ovih legitimnih tehnologija znatno otežava otkrivanje, jer sigurnosni alati moraju razlikovati malicioznu upotrebu od legitimnih poslovnih aplikacija koje koriste slične tehnološke pakete.
Najznačajnije je to što botnet implementira akviziciju adresa za komandovanje i kontrolu (C2) zasnovanu na blockchainu putem Ethereum pametnih ugovora.
Ovaj inovativni pristup predstavlja promjenu paradigme u protokolima komunikacije botneta, budući da se tradicionalne C2 infrastrukture oslanjaju na centralizovane servere koje organi za provođenje zakona mogu identificirati i poremetiti.
Iskorištavanjem Ethereumove decentralizovane mreže, botnet može dinamički pribavljati nove C2 adrese putem interakcija pametnih ugovora, što operacije uklanjanja eksponencijalno otežava.
Paket malicioznog softvera distribuiše se kao Microsoft Installer (.msi) datoteka , iskorištavajući ugrađeni instalacijski okvir Windowsa kako bi izgledao legitimno tokom početnog kompromitovanja sistema.
Ova metoda distribucije koristi taktike socijalnog inženjeringa i često se maskira kao legitimna ažuriranja softvera ili aplikacije za produktivnost.
Nakon izvršenja, instalacijski program automatski obezbjeđuje kompletno Node.js runtime okruženje na računaru žrtve, uspostavljajući potrebnu infrastrukturu za tekuće maliciozne operacije.
Mehanizmi perzistencije demonstriraju napredne tehnike izbjegavanja, pri čemu maliciozni softver implementira više redundantnih metoda kako bi održao dugoročni pristup kompromitovanim sistemima.
WebSocket protokol služi kao primarni komunikacijski kanal između zaraženih mašina i C2 infrastrukture, pružajući dvosmjerne komunikacijske mogućnosti u realnom vremenu, a istovremeno se sistemima za nadzor mreže predstavlja kao legitimni web promet.
Set funkcija botneta obuhvata sveobuhvatan spektar maliciozne mogućnosti dizajniranih i za prikupljanje obavještajnih podataka i za destruktivne operacije.
Funkcionalnost snimanja ekrana omogućava hakerima da provode špijunske aktivnosti, snimajući osjetljive informacije prikazane na monitorima žrtava, uključujući lozinke, finansijske podatke i povjerljive dokumente.
Mogućnost udaljenog izvršavanja koda (RCE) pruža napadačima potpunu administrativnu kontrolu nad kompromitovanim sistemima, omogućavajući eskalaciju privilegija, lateralno kretanje i implementaciju dodatnih malicioznih sadržaja.
Mogućnosti manipulacije datotekama omogućavaju sveobuhvatno izvlačenje podataka i operacije modifikacije sistema.
Hakeri mogu daljinski pristupiti, mijenjati, brisati ili krasti datoteke sa zaraženih sistema, što potencijalno dovodi do značajnih povreda podataka i krađe intelektualnog vlasništva.
Kombinacija ovih mogućnosti sa dizajnom botneta usmjerenim na prikrivenost stvara posebno opasan krajolik prijetnji i za pojedinačne korisnike i za poslovna okruženja.
Pojava ove MaaS ponude na podzemnim forumima predstavlja demokratizaciju naprednih mogućnosti sajber napada, potencijalno omogućavajući manje sofisticiranim akterima prijetnji da provode operacije koje su prethodno bile rezervisane za hakere nacionalnih država i napredne grupe za perzistentne prijetnje.
Izvor: CyberSecurityNews
