Исследователи безопасности Akamai обнаружили Panchan, новый одноранговый ботнет и SSH-червь, который появился в марте 2022 года и с тех пор активно взламывает Linux-серверы.
Panchan Botnet
- Panchan написан на языке Golang и использует встроенные в него функции параллелизма для максимального распространения и выполнения модулей вредоносного ПО.
- Помимо "базовой" атаки по словарю SSH, характерной для большинства червей, эта вредоносная программа также собирает ключи SSH для осуществления латерального перемещения.
- Исследователи безопасности Akamai смогли получить доступ к протоколу связи вредоносной программы и ее административной панели и использовать их для анализа масштабов заражения.
- Наиболее распространенной вертикалью жертв Panchan (после телекоммуникаций/VPS) является образование. Мы предполагаем, что сотрудничество между различными академическими институтами может привести к обмену ключами SSH в сети, что может объяснить, почему эта вертикаль возглавляет список. Исследователи безопасности Akamai обратились к электронной почте, связанной с каждым IP-адресом жертвы.
- Чтобы избежать обнаружения и уменьшить возможность отслеживания, вредоносная программа сбрасывает свои криптомайнеры в виде файлов, привязанных к памяти, без какого-либо присутствия на диске. Она также убивает процессы криптомайнеров, если обнаруживает мониторинг процессов.
- Судя по активности вредоносной программы и геолокации жертвы, языку панели администратора и активности пользователя Discord, Akamai предпологает, что разработчки угрозы - японец.
Indicators of Compromise
SHA256
- 00411a05a7374d64ce8be4ef85999c1434d867cd8db46c38cd03f76072c91460
- b9e643a8e78d2ce745fbe73eb505c8a0cc49842803077809b2267817979d10b0
- a819b4a95f386ae3bd8f0edc64e8e10fae0c21c9ae713b73dfc64033e5a845a1
- 6f445252494a0908ab51d526e09134cebc33a199384771acd58c4a87f1ffc063
SNORT Rules
- alert tcp any any <> any 1919 (msg: "Panchan comm detected" ; content: "pan-chan's mining rig hi!" ; sid:1000001)