Abcbot Botnet

Abcbot Botnet Opis

Abcbot Botnet to nowe zagrożenie botnetowe, które jest rozwijaneaktywnie. Podąża za niedawnym trendem wśród cyberprzestępców polegającym na dywersyfikacji języków programowania używanych do ich groźnych kreacji i jest napisany w języku Golang (Go). Go stał się preferowanym wyborem w kręgach cyberprzestępców, ponieważ oferuje funkcje wieloplatformowe, jednocześnie utrudniając wykrywanie zagrożeń i inżynierię wsteczną. Obecnie zagrożenie jest zdolne do rozprzestrzeniania się robaka, samoaktualizacji, zakładania serwera WWW i przeprowadzania ataków DDoS.

Ewolucja Abcbota

Jedna z najwcześniejszych próbek programu Abcbot została wykryta przez badaczy w lipcu 2021 r. W tamtym czasie zagrożenie było stosunkowo proste, działając raczej jako skaner do atakowania urządzeń z systemem Linux, które miały słabe hasła lub mogły zostać zainfekowane znanymi lukami w zabezpieczeniach. Zasadniczo Abcbot wykorzystywał zachowanie przypominające pracę, aby się rozmnażać. Zawierał jednak ciąg o nazwie „dga.go”, który może wskazywać na przyszłe zamiary hakerów.

Niedługo potem Abcbot rzeczywiście został wyposażony w funkcję algorytmu generowania domeny (DGA) w ramach funkcji samoaktualizacji. W następnej znaczącej aktualizacji pojawił się rootkit ATK o otwartym kodzie źródłowym. Intencją hakerów było zwiększenie możliwości DDoS zagrożenia. Szybko zrezygnowali z używania tej konkretnej metody, usunęli rootkita ATK i zamiast tego wybrali własną implementację funkcji DDoS. W rezultacie najnowsze wersje Abcbot obsługują dziewięć różnych metod ataku DDoS, w tym TLS, TCP, UDP, ACE, HTTP GET i inne.

Dalszy rozwój

Podczas gdy Abcbot wyraźnie opuszcza bardzo wczesne etapy swojego rozwoju i zbliża się do dojrzałości, widać, że zagrożenie wciąż jest powtarzaneaktywnieJednak proces rozwoju nie jest gładką ścieżką do stania się bardziej wyrafinowanym zagrożeniem o złożonych funkcjach. Zamiast tego wydaje się, że cyberprzestępcy wypróbowują różne techniki i sprawdzają, które z nich najlepiej odpowiadają ich celom. W rezultacie obecne wersje Abcbota zawierają wiele niespójności, takich jak wielokrotne raportowanie informacji o urządzeniu, brak w pełni zaimplementowanej funkcjonalności serwera WWW, brak rejestracji nazw domen DGA itp.