Zergeca: DDoS-монстр из StarCraft атакует Linux

Исследователи из команды безопасности XLab недавно обнаружили в киберпространстве новый ботнет Zergeca, отличающийся своими передовыми возможностями и представляющий серьёзную угрозу для миллионов цифровых устройств. Zergeca способен не только проводить DDoS-атаки, но и выполнять множество других вредоносных функций.

20 мая 2024 года XLab зафиксировала подозрительный ELF-файл в каталоге “/usr/bin/geomi” на платформе Linux одного из своих клиентов. Этот файл, упакованный с помощью модифицированного UPX, долгое время оставался незамеченным антивирусными программами.

После анализа исследователи выяснили, что это ботнет, реализованный на ” data-html=”true” data-original-title=”Golang” >Golang. А учитывая то, что в его ” data-html=”true” data-original-title=”C2″ >C2-инфраструктуре использовалась строка “ootheca”, напоминающая о зергах из StarCraft, специалисты XLab назвали ботнет Zergeca, подчёркивая его агрессивный и стремительный характер распространения.

Zergeca поддерживает шесть методов DDoS-атак, а также функции проксирования, сканирования, самообновления, сохранения постоянства, передачи файлов, обратной оболочки и сбора конфиденциальной информации.

Zergeca использует несколько методов DNS-разрешения, включая DNS over HTTPS (DOH). Также применяется библиотека Smux для C2-протокола, обеспечивающая шифрование с помощью XOR. Это позволяет ботнету эффективно скрывать свою деятельность и усложняет его обнаружение.

Анализ показал, что IP-адрес 84.54.51.82, используемый для C2, с сентября 2023 года обслуживал два ботнета Mirai, что говорит о накопленном опыте его создателей. Основные методы распространения Zergeca включают эксплуатацию слабых паролей Telnet и уязвимостей CVE-2022-35733 и CVE-2018-10562.

С начала июня 2024 года Zergeca нацелился на Канаду, США и Германию. Основным типом атаки был ackFlood (atk_4), а жертвами становились различные автономные системы (ASN). Zergeca работает на архитектуре x86-64 и нацелена на платформу Linux, однако в коде ботнета исследователи также обнаружили упоминания Android и Windows, что намекает на будущие сценарии развития вредоноса.

Zergeca достигает постоянства на скомпрометированных устройствах, добавляя системную службу “geomi.service”, что обеспечивает автоматический запуск процесса при перезагрузке устройства. Для шифрования строк используется XOR с жёстко закодированным ключом.

Ботнет включает модуль Silivaccine, который устраняет конкурентные угрозы, такие как майнеры и трояны, обеспечивая монополию на заражённом устройстве и использование максимальной производительности.

Открытие Zergeca демонстрирует непрерывную эволюцию и усложнение ботнетов. Благодаря своим передовым функциям, обеспечению постоянства и гибкости, Zergeca представляет серьёзную угрозу. Специалисты в области кибербезопасности должны оставаться бдительными и принимать проактивные меры для выявления и смягчения таких угроз.

Public Release.