Лаборатория AhnLab обнаружила новую вредоносную кампанию, в которой злоумышленники используют библиотеку PyBitmessage для скрытого управления заражёнными системами. Вместо традиционных C2-серверов зловред применяет децентрализованную P2P-сеть, что затрудняет его обнаружение.
Описание
Как работает атака
Заражение начинается с исполняемого файла, который содержит два компонента:
- Майнер Monero - крадёт вычислительные ресурсы для добычи криптовалюты.
- Бэкдор на PyBitmessage - обеспечивает скрытую связь с злоумышленниками через анонимный P2P-протокол Bitmessage.
- Файлы майнера (включая config.json и idle_maintenance.exe) распаковываются в папку %Temp%, а для работы бэкдора загружается модифицированная версия PyBitmessage.
Скрытая коммуникация
PyBitmessage шифрует трафик и маскирует C2-команды среди сообщений обычных пользователей сети. Это делает его практически неотличимым от легитимного трафика.
Зловред скачивает компоненты:
- С GitHub (если доступен).
- С файлообменника (spcs.bio)
После запуска бэкдор ждёт команд, которые выполняет через PowerShell.
Вывод
Эта атака демонстрирует растущую изощрённость злоумышленников, использующих легитимные технологии для скрытого контроля. Компаниям и пользователям стоит усилить мониторинг необычной активности, особенно в корпоративных сетях.
Индикаторы компрометации
URLs
- http://krb.miner.rocks:4444/
- http://krb.sberex.com:3333/
- http://pool.karbowanec.com:3333/
- http://pool.supportxmr.com:3333/
- https://spac1.com/files/view/bitmessage-6-3-2-80507747/
MD5
- 17909a3f757b4b31ab6cd91b3117ec50
- 29d43ebc516dd66f2151da9472959890
- 36235f722c0f3c71b25bcd9f98b7e7f0
- 498c89a2c40a42138da00c987cf89388
- 604b3c0c3ce5e6bd5900ceca07d587b9
