Аналитический центр AhnLab Security (ASEC) подтверждает, что с 2019 года ботнеты стали активно использоваться для распространения вредоносного ПО NiceRAT. Ботнет - это группа устройств, зараженных вредоносным ПО и управляемых злоумышленниками. Ранее ботнеты в основном использовались для проведения DDoS-атак и соответствующих видов вредоносного ПО, таких как Nitol, однако теперь они также используются для установки вредоносных программ, таких как NanoCore и Emotet, которые осуществляют утечку данных и установку другого вредоносного ПО.
Вредоносные программы ботнета распространяются через популярные корейские файлообменные сервисы и блоги, маскируясь под инструменты проверки лицензий Windows или Microsoft Office, а также бесплатные серверы для игр. Одна из вредоносных программ, NanoCore, распространяется через личные блоги и доступна для загрузки. Она устанавливается в системе по пути %SystemRoot%\rip\lineage1\exploekr.exe и создает ботнет, взаимодействуя с аналогичными C&C-серверами.
Ботнеты, включая NanoCore, могут также устанавливать дополнительные виды вредоносного ПО, независимо от времени. Например, вредоносная программа Amadey Bot была распространена через ботнет Nitol. Аналитики ASEC подтверждают, что вредоносная программа NiceRAT устанавливается ботнетом, сохраняющимся на длительное время, и демонстрируют журналы инфраструктуры AhnLab Smart Defense (ADS) с указанием C&C-серверов, используемых для установки NiceRAT.
NiceRAT - это вредоносная программа с открытым исходным кодом, написанная на Python. Она выполняет задачи обнаружения антиотладки, обнаружения виртуальных машин, регистрации стартовых программ и сбора информации о системе, браузере и криптовалюте. Собранная информация передается злоумышленнику через Discord в качестве C&C-сервера для связи. Вредоносная программа также включает функционал по краже криптовалютных кошельков и сбору информации о пользователях.
Indicators of Compromise
Domain Port Combinations
- gandigod.codns.com:2000
- gandigod.codns.com:5407
- gandigod.codns.com:7481
- gandigod.ddns.net:3255
- gandigod.ddns.net:5407
- gandigod.ddns.net:54984
- gandigod.ddns.net:8080
- gandigod1.ddns.net:2000
URLs
- https://discord.com/api/webhooks/1241518194691280966/tDcIZkMJSrBlrb0PjY98f6vjRIpIa489tkwC5M9GdJFAzOG4-yLh99uzd7gvAG5ZYa3G
- https://discord.com/api/webhooks/1242723656166146119/stYCi_haHIy8MpHXGkrMX0f_bp4-yAEIlnWaINtua0M_sgvcXVRXo77MzCFOIPUe8xT7
MD5
- 00287b8dfdc58c4b413a29042e32d86b
- 061ea0f42ce0a6840c692f6ee36578af
- 06e5bcc514f78794ba83779ea4c30841
- 0ff5ecbe655b0b5781700195d2e8475e
- 16014adaf287779265e33c698287046a
- 1c51a104abd02ad2b0b850ab37d44bde
- 20e2e1c6900aacb6ba529d148545c283
- 2800ebfde7f0a94f00494fc72a3f8149
- 28f08aa165f19b2efb9254f223512dee
- 4b44c4b3ab34a7946987fe7a601de5d6
- 58678eb1df7e8bf574e67573a2beddaa
- 5b72efdb6a374d4c35ab8ac88e519c9c
- 691f894f028994a2553b2438ea011c34
- 6fcdf8ef4c409addf1ebf785440f32ee
- 76e232928e26a1929efe0302cce1cc88
- 7b4fe1a72a25163098827e9def8f497e
- 8cf502f9a053a7f65dc83651c21ea9de
- 99df897a57e5d7dc8ecd11b73ee24726
- a62bfe438f822cf369e434528325ed74
- ba34c7a913b0fa18e434d6a96d612a2c
- c5e49e44495d09a523173e9656a496fc
- cfb73473df35a1fd6c3cd70d09ec8be3
- d387a15e4e0586d112b36ea75fe4d772
- d94d7d20f2c88aaf8f84f6e771878fa7
- df9ef2b14a8d4e5ddf8ac1e03909e0a4
- fb5b169d0844dd9b6228599f313cf983
- fc1333bdce23896e343f0fe6e9a30db8
