Главная страница » IOC
0
10 месяцев
IOC

Zergeca Botnet IOCs

botnet

20 мая 2024 года система XLab CTIA обнаружила подозрительный файл geomi, который оказался ботнетом Zergeca, разработанным на Golang. Этот ботнет имеет не только возможность проводить DDoS-атаки, но также поддерживает проксирование, сканирование, сохранение файлов, передачу данных и сбор конфиденциальной информации. Zergeca также обладает уникальными возможностями, такими как поддержка DNS-разрешения через DOH и использование библиотеки Smux для зашифрованной коммуникации с сервером C2.

Zergeca Botnet

В ходе исследования инфраструктуры ботнета было обнаружено, что его IP-адрес C2 уже с сентября 2023 года обслуживает другие ботнеты Mirai. Вероятно, автор Zergeca имел опыт управления ботнетами Mirai. Уровень обнаружения образцов Zergeca и серверов C2 в настоящее время остается низким, поэтому было принято решение опубликовать статью для информирования сообщества о потенциальной угрозе Zergeca.

Образцы ботнета Zergeca имеют различные показатели обнаружения, вероятно, из-за использования хэша файла антивирусными программами для классификации. Однако, после добавления строки "Xlab" в файл, процент обнаружения повысился, подтверждая это предположение. Также стоит отметить, что обнаружение основано на упакованных образцах, после распаковки процент обнаружения снижается до 0.

В отношении доменов, все образцы используют два C2-домена, предпочитая разрешение C2 через DOH. Это позволяет скрыть связь между образцами и C2-доменами. Низкий уровень обнаружения связан с тем, что VirusTotal не может ассоциировать C2-домены с образцами.

IP-адрес C2 серверов Zergeca, 84.54.51.82, использовался с сентября 2023 года и выполнял разные роли, включая сканер, загрузчик и C2 сервер ботнета Mirai. Сканирование осуществлялось на порты 23, 8080, 3128, 80 и 8888. Анализ показывает, что автор Zergeca вероятно имел опыт работы с ботнетами Mirai.

Информация о ботнете Zergeca была раскрыта для предупреждения общественности о возможной угрозе DDoS-атак. Важно активно отслеживать новые образцы и обновления Zergeca, поскольку автор продолжает развиваться и обновлять свой ботнет.

Indicators of Compromise

IPv4

  • 84.54.51.82

Domains

  • bot.hamsterrace.space
  • ootheca.pw
  • ootheca.top

MD5

  • 23ca4ab1518ff76f5037ea12f367a469
  • 604397198f291fa5eb2c363f7c93c9bf
  • 60f23acebf0ddb51a3176d0750055cf8
  • 6ac8958d3f542274596bd5206ae8fa96
  • 980cad4be8bf20fea5c34c5195013200
  • 9d96646d4fa35b6f7c19a3b5d3846777
  • d78d1c57fb6e818eb1b52417e262ce59
  • d7b5d45628aa22726fd09d452a9e5717
  • f68139904e127b95249ffd40dfeedd21
Комментарии: 0
Похожие записи