Компания Netlab 360 уже долгое время занимается исследованием технологий атаки и защиты ботнетов и поддерживает специальную библиотеку алгоритмов и разведданных DGA. Недавно, анализируя ранее неизвестный DGA-домен, NetLab обнаружила пример использования даты и информации о транзакциях по счету Bitcoin для генерации имени DGA-домена.
Из-за "рандомизации" хэшей транзакций Bitcoin эта техника менее предсказуема, чем предыдущие версии, генерируемые по времени, и поэтому от нее сложнее защититься.
Новая технология доменных имен была обнаружена в семействе ботнетов под названием Orchard. С момента первого обнаружения этого семейства в феврале 2021 года NetLab 360 обнаружила, что оно претерпело как минимум 3 изменения версий и даже сменило языки программирования между ними. Объединив результаты долгосрочного отслеживания, NetLab считает, что Orchard будет продолжать упорствовать и развиваться. Последняя версия Orchard предназначена для майнинга криптовалют.
Indicators of Compromise
IPv4
- 205.185.124.143
- 45.61.185.231
- 45.61.185.36
- 45.61.186.52
- 45.61.187.240
IPv4 Port Combinations
- 45.61.187.7:7733
Domains
- ojena.duckdns.org
- orcharddns.duckdns.org
- orchardmaster.duckdns.org
- vgzero.duckdns.org
- victorynicholas.duckdns.org
- zamarin1.duckdns.org
MD5
- 00b1620f89b7980b34d53737d9e42fd3
- 10D42F5465D5D8808B43619D8266BD99
- 19159280736dbe6c11b7d6a57f6bb7b9
- 2b244a39571ab27f7bb4174d460adeef
- 3c20ba851edecd28c198691321429883
- 4d2445a43591d041cabbbf3dfca6dfbd
- 5c883ff8539b8d04be017a51a84e3af8
- 91ac64d29f78281ad802f44648b2137f
- 9cbe4bd27eba8c70b6eddaeb6707659b
- ae1e9b3621ee041be6ab5e12bff37c53
- b5a6f78d5575a60316f4e784371d4f8c
- cb442cbff066dfef2e3ff0c56610148f
- f3c06399c68c5fdf80bb2853f8f2934b
- f3e0b960a48b433bc4bfe6ac44183b74