專家發現 Abcbot 和 Xanthe 僵尸網絡起源相同

專家將Abcbot DDoS 僵尸網絡使用的基礎設施與2020 年 12 月發現的加密貨幣挖掘僵尸網絡的操作聯系起來。

去年 11 月，奇虎 360 的 Netlab 安全團隊的研究人員發現了一個名為 Abcbot 的新僵尸網絡，它以 Linux 系統為目標，發起分布式拒絕服務 (DDoS) 攻擊。

去年 12 月，Cado Security 專家發現了一個新版本的惡意 shell 腳本，該腳本針對在上述中國云托管服務提供商下運行的不安全云實例。

目標供應商名單包括阿里云、百度、騰訊和華為云。

自 11 月以來，該安全公司總共分析了六個版本的僵尸網絡。趨勢科技 研究人員最初于 10 月記錄了該機器人的早期版本 。

用于跟蹤機器人的名稱 Abcbot 來自源路徑“abc-hello”。

Cado 安全研究人員繼續分析僵尸網絡，試圖將其入侵指標 (IoC) 與過去的惡意活動聯系起來。調查揭示了一個名為Xanthe的加密貨幣挖掘僵尸網絡的明確鏈接，該僵尸網絡  通過利用配置不正確的 Docker 實現進行傳播。

思科 Talos 的研究人員于 2020 年 12 月首次分析了 Xanthe 僵尸網絡。

“我們對這個惡意軟件系列的持續分析揭示了與思科 Talos 安全研究團隊在 2020 年底發現的基于 Xanthe 的加密劫持活動有明顯聯系。Talos 的研究人員在收到對其中一個入侵的警報時發現了類似于加密貨幣挖掘機器人的惡意軟件。他們的 Docker 蜜罐。” 閱讀Cado Security 發布的分析。

專家認為，Xanthe 和 Abcbot 背后都有相同的威脅行為者，它正在將其目標從在受感染主機上挖掘加密貨幣轉向 DDoS 攻擊。

專家觀察到兩個機器人之間的語義重疊，包括源代碼的格式、例程的命名約定、函數名稱末尾附加的單詞“go”（例如，“filerungo”）。

專家們還注意到 Abcbot 包含用于將四個惡意用戶添加到受感染機器的代碼：

• 日志
• 系統
• 系統
• 自動更新程序

“在任何平臺上的惡意軟件家族和特定樣本之間經常可以看到代碼重用甚至同類復制。從發展的角度來看，這是有道理的；就像合法軟件的代碼被重用以節省開發時間一樣，非法或惡意軟件也會發生同樣的情況。” 報告結束。“正如我們在本報告中所展示的，我們認為 Xanthe 和 Abcbot 惡意軟件家族之間存在多個聯系，這表明同一威脅行為者負責。其中包括重復使用唯一字符串、提及共享基礎設施、風格選擇和在兩個樣本中都可以看到的功能——其中大部分很難和/或完全復制毫無意義。”