MyKings Botnet
MyKings Botnet (tunnetaan myös nimellä Smominru ja DarkCloud) on bottiverkko, joka on ollut toiminnassa jonkin aikaa ja jolla on taipumus kohdistaa käyttämättömiin tai hajautettuihin Windows-pohjaisiin palvelimiin. Kyseiset palvelimet yleensä isännöivät valikoimaa palveluita - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL jne. Raporttien mukaan eniten maat ovat Kiina (18% kaikista uhreista). , Taiwanissa (11%), Venäjällä (7%), Brasiliassa (7%) ja Yhdysvalloissa (6%). Ilmeisesti suunnilleen on ollut 44 000 yksilöivää IP-osoitetta, jotka ovat osoittaneet positiivisen MyKings-uhan olemassaolon suhteen. MyKings Botnetin päätavoitteena on asentaa salaustekniikat vaarantuneisiin isäntiin ja käyttää Forshare-troijalaista varmistaaksesi, että kaikki istutetut kaivostyöläiset toimivat suunnitellulla tavalla. Tässä kampanjassa käytetyt kryptominerit louhitaan Monero-kryptovaluuttaan. On arvioitu, että toistaiseksi MyKings Botnet -operaattorit ovat tuottaneet hämmästyttävän 9 000 XMR: n, mikä on noin 3 miljoonaa dollaria.
Poistaa kilpailevat uhat kompromitoidusta isännästä
MyKings Botnet pystyy tunnistamaan, onko vahingoittuneessa isännässä muita haittaohjelmakantoja. Jos uhka havaitsee kilpailevan haittaohjelman olemassaolon, se poistetaan maksimaalisen tehokkuuden varmistamiseksi. Lisäksi MyKings-haittaohjelma pystyy skannaamaan prosessit sellaisten suhteiden suhteen, jotka voivat olla yhteydessä virustorjuntatyökaluihin. Jos havaitaan, MyKings-uhka lopettaa ne, jotta se toimisi keskeytyksettä. MyKings-komponentit pystyvät itse päivittämään, mikä varmistaa, että uhka pysyy voimakkaana. Tämä saavutetaan Windows-eräajotiedostojen ja RAR-arkistojen avulla, jotka pystyvät itse purkautumaan.
Käyttää steganografiaa
MyKings Botnet -operaattorit ovat päättäneet käyttää melko innovatiivista tekniikkaa pilata korruptoituneet hyötykuormansa - steganografia. Hyökkääjät ovat sijoittaneet uhan huonon suorittamisen näennäisesti vaarattomalle Taylor Swiftin valokuvaan. He piilottavat haitalliset tiedot muokatulla .jpg-tiedostolla. Haittaohjelmien asiantuntijat kuitenkin pystyivät havaitsemaan sen, koska se sisältää tyypillisen MZ-otsikkotekstin ja tavut. Tämä temppu auttaa MyKings-uhkaa käyttämään uusimpia päivityksiä. MyKings-uhka peukaloi Windows-rekisteriä saadakseen pysyvyyden tartunnan saaneessa isännässä. Käynnistyspaketti varmistaa, että MyKings-haittaohjelmat suoritetaan järjestelmän uudelleenkäynnistyksen yhteydessä.
MyKings Botnet on tähän mennessä saanut operaattoreilta vaikuttavan määrän rahaa, ja kun otetaan huomioon, että he jatkavat uhan päivittämistä, on todennäköistä, että he eivät keskeytä tätä operaatiota lähitulevaisuudessa.
