Abcbot Botnet
Abcbot Botnet är ett nytt botnätshot som håller på att utvecklasaktivt. Den följer den senaste trenden bland cyberkriminella att diversifiera programmeringsspråken som används för deras hotfulla skapelser och är skriven i Golang (Go). Go har blivit det föredragna valet i kretsar för cyberbrottslingar, eftersom det erbjuder plattformsoberoende funktioner samtidigt som det gör hoten svårare för upptäckt och omvänd konstruktion. För närvarande är hotet kapabelt till maskliknande spridning, självuppdatering, etablering av en webbserver och DDoS-attacker.
Abcbots evolution
Ett av de tidigaste exemplen av Abcbot upptäcktes av forskare redan i juli 2021. Då var hotet relativt enkelt och fungerade mer som en skanner för att attackera Linux-enheter som hade svaga lösenord eller kunde infekteras via kända sårbarheter. I huvudsak använde Abcbot arbetsliknande beteende för att sprida sig själv. Den innehöll dock en sträng med namnet 'dga.go' som kunde antyda hackarnas framtida avsikter.
Inte långt efter var Abcbot verkligen utrustad med en domängenereringsalgoritm (DGA) funktionalitet som en del av en självuppdateringsfunktion. Nästa meningsfulla uppdatering lade till ett ATK-rootkit med öppen källkod. Hackarnas avsikt var att öka hotets DDoS-kapacitet. De gav snabbt upp med att använda just den här metoden, tog bort ATK rootkit och gick istället med sin egen implementering av en DDoS-funktionalitet. Som ett resultat stöder de senaste Abcbot-versionerna nio olika DDoS-attackmetoder inklusive TLS, TCP, UDP, ACE, HTTP GET och mer.
Ytterligare utveckling
Även om Abcbot helt klart lämnar de mycket tidiga stadierna av sin utveckling och går mot mognad, är det uppenbart att hotet fortfarande upprepasaktivtUtvecklingsprocessen är dock inte en smidig väg mot att bli ett mer sofistikerat hot med komplexa funktioner. Istället verkar cyberbrottslingarna prova olika tekniker och se vilka som passar deras mål bäst. Som ett resultat inkluderar de nuvarande Abcbot-versionerna en hel del inkonsekvenser, som att rapportera enhetsinformation flera gånger, att de saknar fullständigt implementerad webbserverfunktionalitet, att inte registrera DGA-domännamnen, etc.
