Lu0bot появился в феврале 2021 года в качестве полезной нагрузки второго этапа в атаках GCleaner. Сейчас он выступает в роли бота, ожидающего команд от сервера C2 и отправляющего на него зашифрованную базовую системную информацию.
Стоит отметить, что уровень активности бота остается относительно низким - в среднем 5-8 новых образцов на Bazaar в месяц. Однако не исключено, что реальная популярность этой вредоносной программы выше, чем показывает уровень активности, и многие образцы лежат без движения, ожидая команд C2, - впрочем, это лишь предположение.
В любом случае, даже при такой ограниченной активности Lu0bot интересен тем, что демонстрирует творческий подход к созданию вредоносного ПО - написанный на Node.js, его возможности ограничены только тем, что возможно в этом языке программирования.
- Все данные обфусцированы. Код ориентирован в основном на сбор базовой информации и ожидание команд C2.
- Функциональность вредоносной программы ограничена только тем, что может сделать ее JS-код.
- Доменная структура вредоносной программы уникальна.
- Для строк используются собственные методы шифрования.
Indicators of Compromise
Domains
- 59c58bb5317016932210991180008a04a642894b53635018356690221232f.hsh.juz09.cfd
- 59c58bb5317016932210991180108a04a642894b53635018356690221232f.hsh.juz09.cfd
- 59c58bb5317016932210991180208a04a642894b53635018356690221232f.hsh.juz09.cfd
- 59c58bb5317016932210991180209a04a642894b53635018356690221232f.hsh.juz09.cfd
MD5
- 6181206d06ce28c1bcdb887e547193fe
SHA1
- 8eb65b4895a90d343f23f9228e0d53af62de3dab
SHA256
- fb808be98b583a2004b0af7b6f4bf5e3419d8b6a385c5ce4e8fab4ddc0b48428
- 7c37b8dd32365d41856692584f4c8e943610cda04c16fe06b47ed2d1e5c6415e
- 9c5898b1b354b139794f10594e84e94e991971a54d179b2e9f746319ffac56aa
