Panchan Botnet IOCs

botnet IOC

Исследователи безопасности Akamai обнаружили Panchan, новый одноранговый ботнет и SSH-червь, который появился в марте 2022 года и с тех пор активно взламывает Linux-серверы.

Panchan Botnet

  • Panchan написан на языке Golang и использует встроенные в него функции параллелизма для максимального распространения и выполнения модулей вредоносного ПО.
  • Помимо "базовой" атаки по словарю SSH, характерной для большинства червей, эта вредоносная программа также собирает ключи SSH для осуществления латерального перемещения.
  • Исследователи безопасности Akamai смогли получить доступ к протоколу связи вредоносной программы и ее административной панели и использовать их для анализа масштабов заражения.
  • Наиболее распространенной вертикалью жертв Panchan (после телекоммуникаций/VPS) является образование. Мы предполагаем, что сотрудничество между различными академическими институтами может привести к обмену ключами SSH в сети, что может объяснить, почему эта вертикаль возглавляет список. Исследователи безопасности Akamai обратились к электронной почте, связанной с каждым IP-адресом жертвы.
  • Чтобы избежать обнаружения и уменьшить возможность отслеживания, вредоносная программа сбрасывает свои криптомайнеры в виде файлов, привязанных к памяти, без какого-либо присутствия на диске. Она также убивает процессы криптомайнеров, если обнаруживает мониторинг процессов.
  • Судя по активности вредоносной программы и геолокации жертвы, языку панели администратора и активности пользователя Discord, Akamai предпологает, что разработчки угрозы - японец.

Indicators of Compromise

SHA256

  • 00411a05a7374d64ce8be4ef85999c1434d867cd8db46c38cd03f76072c91460
  • b9e643a8e78d2ce745fbe73eb505c8a0cc49842803077809b2267817979d10b0
  • a819b4a95f386ae3bd8f0edc64e8e10fae0c21c9ae713b73dfc64033e5a845a1
  • 6f445252494a0908ab51d526e09134cebc33a199384771acd58c4a87f1ffc063

SNORT Rules

  • alert tcp any any <> any 1919 (msg: "Panchan comm detected" ; content: "pan-chan's mining rig hi!" ; sid:1000001)
SEC-1275-1
Добавить комментарий