Một mạng botnet mới có tên Orchard đã được quan sát thấy sử dụng thông tin giao dịch tài khoản của người tạo Bitcoin Satoshi Nakamoto để tạo tên miền nhằm che giấu cơ sở hạ tầng lệnh và kiểm soát (C2) của nó.
“Do sự không chắc chắn của các giao dịch Bitcoin, kỹ thuật này khó dự đoán hơn so với việc sử dụng [domain generation algorithms]và do đó khó bảo vệ hơn “, các nhà nghiên cứu từ nhóm bảo mật Netlab của Qihoo 360 cho biết trong một bài viết hôm thứ Sáu.
Orchard được cho là đã trải qua ba lần sửa đổi kể từ tháng 2 năm 2021, với mạng botnet chủ yếu được sử dụng để triển khai các tải trọng bổ sung lên máy của nạn nhân và thực hiện các lệnh nhận được từ máy chủ C2.
Nó cũng được thiết kế để tải lên thiết bị và thông tin người dùng cũng như lây nhiễm phần mềm độc hại vào các thiết bị lưu trữ USB. Phân tích của Netlab cho thấy cho đến nay đã có hơn 3.000 máy chủ bị phần mềm độc hại bắt làm nô lệ, hầu hết đều nằm ở Trung Quốc.
Orchard cũng đã được cập nhật đáng kể trong hơn một năm, một trong số đó đòi hỏi một thời gian ngắn với Golang để triển khai nó, trước khi chuyển trở lại C ++ trong lần lặp thứ ba.
Trên hết, phiên bản mới nhất tích hợp các tính năng để khởi chạy chương trình khai thác XMRig để khai thác monero (XMR) bằng cách lạm dụng tài nguyên của hệ thống bị xâm phạm.
Một thay đổi khác liên quan đến việc sử dụng thuật toán DGA được sử dụng trong các cuộc tấn công. Trong khi hai biến thể đầu tiên chỉ dựa vào chuỗi ngày để tạo tên miền, phiên bản mới hơn sử dụng thông tin số dư thu được từ địa chỉ ví tiền điện tử “1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa.”
Cần phải chỉ ra rằng địa chỉ ví là địa chỉ nhận phần thưởng của thợ đào của Bitcoin Genesis Block, xảy ra vào ngày 3 tháng 1 năm 2009 và được cho là do Nakamoto nắm giữ.
“Trong hơn một thập kỷ qua, một lượng nhỏ bitcoin đã được chuyển vào ví này hàng ngày vì nhiều lý do khác nhau, vì vậy nó có thể thay đổi và sự thay đổi đó rất khó dự đoán, vì vậy thông tin số dư cho ví này cũng có thể được sử dụng như Các nhà nghiên cứu cho biết đầu vào DGA.
Phát hiện được đưa ra khi các nhà nghiên cứu loại bỏ một phần mềm độc hại botnet IoT mới ra đời có tên mã RapperBot đã được phát hiện có khả năng buộc các máy chủ SSH có khả năng thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) phân tán.
.