Компания Akamai Security Research обнаружила новую вредоносную программу, заразившую honeypot, которую окрестили KmsdBot.
KmsdBot Botnet
- Ботнет заражает системы через SSH-соединение, используя слабые учетные данные для входа.
- Он написан на языке Golang, который становится все более распространенным языком для злоумышленников из-за сложности обратной разработки.
- Вредоносная программа атакует, используя UDP, TCP, HTTP POST и GET, а также командно-контрольную инфраструктуру (C2), которая взаимодействует по TCP.
- Вредоносная программа не сохраняется на зараженной системе, чтобы избежать обнаружения.
- Вредоносная программа имеет разнообразные цели, включая игровую индустрию, технологическую промышленность и производителей автомобилей класса люкс.
- Ботнет также способен добывать криптовалюты.
- Вредоносная программа поддерживает различные архитектуры, такие как Winx86, Arm64, mips64, x86_64.
Indicators of Compromise
SHA256
- 09761d69bd5b00b2e767a1105dd3e80ce17b795cd817676c737a1e83c5b96f1b
- 3928c5874249cc71b2d88e5c0c00989ac394238747bb7638897fc210531b4aab
- 701b874a56a9a0ed4101a88621441afec936c4210e18d9a3e20f9a95c454ce40
- 714eeba5b6e4610946cd07c1ddadddc94052bfe450a8a9b1c23495721082884d
- 75569874dadb814ce51d121c108ead006b0f39c27057945b649837563f635f51
- 8775bdd7a33f136d31b2840dab68505ac0ab8eaa0bcb58713fae36552b8a1f95
- 8d1df3c5357adbab988c62682c85b51582649ff8a3b5c21fca3780fe220e5b11
- b927e0fe58219305d86df8b3e44493a7c854a6ea4f76d1ebe531a7bfd4365b54
- e83a61c538f11e4fc9dd9d0f414a9e74d0d585ffe3302e4d3741be6a3523bd1e