Panchan: Ein neues Golang-basiertes Peer-To-Peer-Botnet, das auf Linux-Server abzielt

  • Ein neues, auf Golang basierendes Peer-to-Peer (P2P)-Botnet wurde entdeckt, das seit seinem Auftauchen im März 2022 aktiv auf Linux-Server im Bildungssektor abzielt.

    Die von Akamai Security Research als Panchan bezeichnete Malware „nutzt ihre integrierten Gleichzeitigkeitsfunktionen, um die Verbreitungsfähigkeit zu maximieren und Malware-Module auszuführen“ und „SSH-Schlüssel zu sammeln, um laterale Bewegungen durchzuführen“.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhlwCTbaGsb9d6zeHzDBQtvDt8j-9OnPgN56cHkjUb01DXcncpI9ZN-KeD6XjwPNK8zpUtgKMOZotF4CWCjFPirlv3hGU4dKCvusE1SPkMDYj45uXYC3-nr5l5M6-sU4e4Xw08NnG5GYCpfbEQi6AeEDDOHMVrFHzgLLYJ49aqOx0hn3vDS0xyi7L4Z9w/s1600/GitLab-ads.png]

    Das funktionsreiche Botnet, das sich auf eine einfache Liste von Standard-SSH-Passwörtern stützt, um einen Wörterbuchangriff auszuführen und seine Reichweite zu vergrößern, funktioniert in erster Linie als Kryptojacker, der die Ressourcen eines Computers kapert, um Kryptowährungen zu schürfen.

    Das Unternehmen für Cybersicherheit und Cloud-Dienste stellte fest, dass es Panchans Aktivitäten erstmals am 19. März 2022 entdeckte und die Malware aufgrund der Sprache, die in der in die Binärdatei integrierten Verwaltungsoberfläche zur Bearbeitung der Mining-Konfiguration verwendet wird, wahrscheinlich einem japanischen Bedrohungsakteur zuordnete.

    Panchan ist dafür bekannt, dass er während der Laufzeit zwei Miner, XMRig und nbhash, auf dem Host einsetzt und ausführt, wobei die Neuheit darin besteht, dass die Miner nicht auf die Festplatte extrahiert werden, um keine forensischen Spuren zu hinterlassen.

    „Um eine Entdeckung zu vermeiden und die Rückverfolgbarkeit zu reduzieren, legt die Malware ihre Kryptominer als Memory-Mapped-Dateien ab, ohne dass sie auf der Festplatte vorhanden sind“, so die Forscher. „Sie beendet auch die Cryptominer-Prozesse, wenn sie eine Prozessüberwachung feststellt.

    Von den 209 infizierten Peers, die bisher entdeckt wurden, sollen 40 derzeit aktiv sein. Die meisten der infizierten Rechner befinden sich in Asien (64), gefolgt von Europa (52), Nordamerika (45), Südamerika (11), Afrika (1) und Ozeanien (1).

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Ein interessanter Hinweis auf den Ursprung der Malware ist das Ergebnis eines OPSEC-Fehlers seitens des Bedrohungsakteurs, der den Link zu einem Discord-Server enthüllt, der im „Godmode“-Admin-Panel angezeigt wird.

    „Der Hauptchat war leer, mit Ausnahme einer Begrüßung eines anderen Mitglieds, die im März stattfand“, so die Forscher. „Es könnte sein, dass andere Chats nur für höher privilegierte Mitglieder des Servers zugänglich sind.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com