新果園僵尸網絡利用比特幣創始人的賬戶信息生成惡意域名

已觀察到一個名為 Orchard 的新僵尸網絡使用比特幣創建者 Satoshi Nakamoto 的賬戶交易信息生成域名以隱藏其命令和控制 (C2) 基礎設施。

“由于比特幣交易的不確定性，這種技術比使用常見的時間生成[域生成算法]更難以預測，因此更難以防御，”奇虎 360 的 Netlab 安全團隊的研究人員在周五的一篇文章中表示。

據說自 2021 年 2 月以來，Orchard 經歷了三次修訂，僵尸網絡主要用于將額外的有效負載部署到受害者的機器上并執行從 C2 服務器接收到的命令。

它還旨在上傳設備和用戶信息以及感染 USB 存儲設備以傳播惡意軟件。Netlab 的分析表明，迄今為止，已有超過 3,000 臺主機被該惡意軟件奴役，其中大部分位于中國。

在一年多的時間里，Orchard 也進行了重大更新，其中一次需要與 Golang 進行一次簡短的嘗試，然后在第三次迭代中切換回 C++。

最重要的是，最新版本包含啟動 XMRig 挖礦程序以通過濫用受感染系統的資源來鑄造 Monero (XMR) 的功能。

另一個變化與攻擊中使用的 DGA 算法有關。雖然前兩個變體完全依賴日期字符串來生成域名，但較新的版本使用從加密貨幣錢包地址“ 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa ”獲得的余額信息。

值得指出的是，錢包地址是比特幣創世區塊的礦工獎勵接收地址，發生在2009年1月3日，據信為中本聰持有。

“過去十年左右，由于各種原因，每天都有少量比特幣轉移到這個錢包，所以它是可變的，這種變化很難預測，所以這個錢包的余額信息也可以用作DGA 輸入，”研究人員說。

研究人員揭開了代號為RapperBot的新生物聯網僵尸網絡惡意軟件的面紗，該惡意軟件被發現暴力破解 SSH 服務器以可能執行分布式拒絕服務 (DDoS) 攻擊。