Stantinko Botnet
Det er kendt, at Stantinko Botnet har været aktiv siden 2012. Cyber-skurkerne bag det har på en eller anden måde formået at holde dette botnet aktivt i syv år, hvilket er ret imponerende. Det ser ud til, at de fleste af systemerne, der er en del af Stantinko Botnet, er placeret i eks-sovjetiske lande - Rusland, Ukraine, Hviderusland, Kasakhstan osv. Det er blevet anslået, at Stantinko Botnet består af over 500.000 kompromitterede maskiner . De fleste botnets bruges til DDoS (Distribueret-Denial-of-Service) angreb. Det, der er interessant ved Stantinko Botnet, er, at trods sin store størrelse endnu ikke er brugt dette botnet til et DDoS-angreb. I stedet har operatørerne af Stantinko Botnet brugt det i forskellige andre kampagner, herunder massespam-e-mails, indsamling af følsomme data, falske annonceklik, svig osv.
Indholdsfortegnelse
Stantinko Botnet bruges til minedrift Monero
For nylig har operatørerne af Stantinko Botnet valgt at tilføje cryptocurrency mining til deres liste over opgaver. De bruger en cryptocurrency miner, der er bygget takket være et open source-projekt, som angriberen har ændret lidt. De fleste trusler af denne type er baseret på XMRig , men operatørerne af Stantinko Botnet har i stedet valgt at ændre og bruge 'xmr-stak'-projektet. Minearbejderen, der bruges af Stantinko Botnet, tjener til at udnytte Monero cryptocurrency. Operatørerne af Stantinko Botnet har sørget for at tilsløre minemodulet kraftigt for at gøre dissekering af det langt mere komplekst.
Grib IP-adresserne fra YouTube-videobeskrivelser
Et andet tilsløret trick, der bruges af operatørerne af Stantinko Botnet, er den kommunikationsmetode, der bruges i dens kampagner. I stedet for at bruge en fast minedrift, har skaberne af Stantinko Botnet valgt at få fat i IP-adresserne fra beskrivelserne af forskellige YouTube-videoer, som de uploader på platformen. De adresser, som Stantinko Botnet bruger, er naturligvis ikke let tilgængelige, men skal først afkodes.
Selvbevarende teknikker
For at sikre, at deres malware bruger al computerkraft fra den kompromitterede vært, har forfatterne af denne trussel inkluderet en funktion, der er i stand til at opdage enhver anden cryptocurrency-miner, der kan være til stede i systemet. Hvis der opdages en anden minearbejder, afslutter malware, som skaberne af Stantinko Botnet bruger. Det ser ud til, at operatørerne af Stantinko Botnet også har implementeret en selvbevarende teknik til deres kryptomineringsmodul. Gruvearbejderen er i stand til at bestemme, om brugeren har lanceret Windows Task Manager, og hvis de har det, vil minedriftmodulet ophøre med sin aktivitet. Dette gøres for at undgå at blive opdaget af offeret, da det vil være tydeligt, at der er noget galt, når brugeren ser, hvor meget CPU, der bruges. Dette smarte trick gør det lettere at opdage cryptocurrency-minerens aktivitet og det er mere sandsynligt, at truslen fortsætter med at fungere i en længere periode. Stantinko Botnet er også i stand til at se ethvert anti-malware-program, der kan være til stede på den kompromitterede maskine. Interessant nok er der dog ikke truffet nogen foranstaltninger for at skjule den skadelige aktivitet af truslen, selvom der er antivirus-software på den inficerede vært.
De skyggefulde personer bag Stantinko Botnet gør et godt stykke arbejde med at udvide deres netværk og forblive aktive, selv efter at have fungeret i syv år. Stantinko Botnet har et stort potentiale til at forårsage nogle alvorlige problemer, og efter at have været aktiv i så længe er det usandsynligt, at de kriminelle, der driver dette botnet, har nogen intentioner om at ophøre med aktiviteter snart.
