Stantinko Botnet
Det er kjent at Stantinko Botnet har vært aktiv siden 2012. Cyber-skurkene bak det har på en eller annen måte klart å holde dette botnetet aktivt i syv år, noe som er ganske imponerende. Det ser ut til at de fleste systemene, som er en del av Stantinko Botnet, er lokalisert i eks-sovjetiske land - Russland, Ukraina, Hviterussland, Kasakhstan, etc. Det har blitt estimert at Stantinko Botnet består av over 500 000 kompromitterte maskiner . De fleste botnett brukes til DDoS-angrep (Distribed-Denial-of-Service). Det som er interessant med Stantinko Botnet er imidlertid at til tross for sin store størrelse, er dette botnet ennå ikke ansatt for et DDoS-angrep. I stedet har operatørene av Stantinko Botnet brukt det i forskjellige andre kampanjer, inkludert masse spam e-poster, innsamling av sensitive data, falske annonseklikk, svindel, etc.
Innholdsfortegnelse
Stantinko Botnet brukes til gruvedrift Monero
Nylig har operatørene av Stantinko Botnet valgt å legge cryptocurrency mining til listen over oppgaver. De bruker en cryptocurrency gruvearbeider som er bygget takket være et open source prosjekt som angriperne har endret litt. De fleste trusler av denne typen er basert på XMRig , men operatørene av Stantinko Botnet har i stedet valgt å endre og bruke 'xmr-stak'-prosjektet. Gruvearbeideren brukt av Stantinko Botnet tjener til å gruve Monero cryptocurrency. Operatørene av Stantinko Botnet har sørget for å tildekke gruvemodulen kraftig for å gjøre dissekering langt mer kompleks.
Fanger IP-adressene fra YouTube-videobeskrivelser
Et annet obfuscation-triks som brukes av operatørene av Stantinko Botnet er kommunikasjonsmetoden som ble brukt i kampanjene sine. I stedet for å bruke et fast gruvebasseng, har skaperne av Stantinko Botnet valgt å hente IP-adressene fra beskrivelsene av forskjellige YouTube-videoer som de laster opp på plattformen. Adressene som Stantinko Botnet bruker er selvfølgelig ikke tilgjengelige, men må dekodes først.
Selvbevarende teknikker
For å sikre at skadelig programvare bruker all datakraften til den kompromitterte verten, har forfatterne av denne trusselen inkludert en funksjon som er i stand til å oppdage enhver annen cryptocurrency-gruvearbeider som kan være til stede i systemet. Hvis det oppdages en annen gruvearbeider, vil skadelig programvare som brukes av skaperne av Stantinko Botnet avslutte det. Det ser ut til at operatørene av Stantinko Botnet også har implementert en selvbevarende teknikk til kryptomineringsmodulen. Gruvearbeideren er i stand til å avgjøre om brukeren har lansert Windows Task Manager, og om de har det, vil gruvemodulen stoppe aktiviteten. Dette gjøres for å unngå å bli oppdaget av offeret, da det vil være tydelig at noe er galt når brukeren ser hvor mye CPU som blir brukt. Dette smarte trikset gjør det lettere å oppdage aktiviteten til cryptocurrency-gruvearbeideren og gjør det mer sannsynlig at trusselen fortsetter å operere i en lengre periode. Stantinko Botnet er også i stand til å oppdage alle anti-malware applikasjoner som kan være til stede på den kompromitterte maskinen. Interessant nok er det imidlertid ingen tiltak for å skjule den skadelige aktiviteten til trusselen, selv om det er antivirusprogramvare på den infiserte verten.
De lyssky personene bak Stantinko Botnet gjør en god jobb med å utvide nettverket og forbli aktive, selv etter å ha vært i syv år. Stantinko Botnet har et stort potensial for å forårsake alvorlige problemer, og etter å ha vært aktiv så lenge, er det lite sannsynlig at de kriminelle som driver dette botnet, har noen intensjoner om å opphøre aktivitet snart.
