Abcbot-botnet

Abcbot-botnet Beschrijving

De Abcbot Botnet is een nieuwe botnet-bedreiging die wordt ontwikkeldactief. Het volgt de recente trend onder cybercriminelen om de programmeertalen die worden gebruikt voor hun bedreigende creaties te diversifiëren en is geschreven in Golang (Go). Go is de favoriete keuze geworden in kringen van cybercriminelen, omdat het platformonafhankelijke mogelijkheden biedt terwijl het de bedreigingen moeilijker maakt voor detectie en reverse-engineering. Momenteel kan de dreiging zich wormachtig verspreiden, zichzelf updaten, een webserver opzetten en DDoS-aanvallen uitvoeren.

De evolutie van ABCbot

Een van de vroegste voorbeelden van Abcbot werd in juli 2021 door onderzoekers gedetecteerd. Destijds was de dreiging relatief eenvoudig meer als een scanner voor het aanvallen van Linux-apparaten met zwakke wachtwoorden of die via bekende kwetsbaarheden konden worden geïnfecteerd. In wezen gebruikte Abcbot werkachtig gedrag om zichzelf te verspreiden. Het bevatte echter een string met de naam 'dga.go' die zou kunnen duiden op de toekomstige bedoelingen van de hackers.

Niet lang daarna werd Abcbot inderdaad uitgerust met een domeingeneratie-algoritme (DGA)-functionaliteit als onderdeel van een zelf-updatefunctie. De volgende betekenisvolle update zag de toevoeging van een open-source ATK-rootkit. De bedoeling van de hackers was om de DDoS-mogelijkheden van de dreiging te vergroten. Ze gaven het gebruik van deze specifieke methode snel op, verwijderden de ATK-rootkit en gingen in plaats daarvan over op hun eigen implementatie van een DDoS-functionaliteit. Als gevolg hiervan ondersteunen de nieuwste Abcbot-versies negen verschillende DDoS-aanvalsmethoden, waaronder TLS, TCP, UDP, ACE, HTTP GET en meer.

Verdere ontwikkeling

Hoewel Abcbot duidelijk de zeer vroege stadia van zijn ontwikkeling verlaat en op weg is naar volwassenheid, is het duidelijk dat de dreiging nog steeds wordt herhaaldactiefHet ontwikkelingsproces is echter geen gemakkelijke weg om een meer geavanceerde bedreiging met complexe functies te worden. In plaats daarvan lijken de cybercriminelen verschillende technieken uit te proberen en te kijken welke het beste bij hun doelen passen. Als gevolg hiervan bevatten de huidige Abcbot-versies veel inconsistenties, zoals het meerdere keren rapporteren van apparaatinformatie, het ontbreken van volledig geïmplementeerde webserverfunctionaliteit, het niet registreren van de DGA-domeinnamen, enz.