Een recente Necro Python-botcampagne heeft aangetoond dat de ontwikkelaar achter de malware hard aan het werk is om de mogelijkheden ervan uit te breiden.
Op donderdag publiceerden onderzoekers van Cisco Talos een rapport op Necro Python, een bot die sinds 2015 in ontwikkeling is. De voortgang van de ontwikkeling van het botnet werd in januari 2021 gedocumenteerd door zowel Check Point Research (CPR) als Netlab 360, afzonderlijk gevolgd als FreakOut en Necro.
De ontwikkelaar achter de Necro Python-bot heeft een aantal wijzigingen aangebracht om de kracht en veelzijdigheid van de bot te vergroten, waaronder exploits voor meer dan 10 verschillende webapplicaties en het SMB-protocol dat wordt gebruikt in de recente campagnes van de bot. Exploits zijn opgenomen voor kwetsbaarheden in software zoals VMWare vSphere, SCO OpenServer en het Vesta Control Panel.
Een versie van het botnet, uitgebracht op 18 mei, bevat ook exploits voor EternalBlue (CVE-2017-0144) en EternalRomance (CVE-2017-0147).
De bot zal eerst proberen deze kwetsbaarheden te misbruiken op zowel Linux- als Windows-gebaseerde besturingssystemen. Als dit lukt, gebruikt de malware een JavaScript-downloader, Python-interpreter en scripts en uitvoerbare bestanden die zijn gemaakt met pyinstaller om het gecompromitteerde systeem als een slave-machine naar het botnet te leiden.
Necro Python zal dan een verbinding tot stand brengen met een command-and-control (C2)-server om contact te houden met de operator, opdrachten te ontvangen, gegevens te exfiltreren of extra malware-payloads in te zetten.
Een nieuwe toevoeging aan de bot is een cryptocurrency-mijnwerker, XMRig, die wordt gebruikt om Monero (XMR) te genereren door de computerbronnen van de gecompromitteerde machine te stelen.
“De bot injecteert ook de code om een op JavaScript gebaseerde mijnwerker te downloaden en uit te voeren vanaf een door een aanvaller gecontroleerde server in HTML- en PHP-bestanden op geïnfecteerde systemen”, zeggen de onderzoekers. “Als de gebruiker de geïnfecteerde applicatie opent, wordt een op JavaScript gebaseerde Monero-mijnwerker uitgevoerd in de procesruimte van hun browser.”
Andere functies zijn onder meer de mogelijkheid om gedistribueerde denial-of-service (DDoS)-aanvallen, data-exfiltratie en netwerksniffing uit te voeren.
Er wordt ook een rootkit in gebruikersmodus geïnstalleerd om persistentie vast te stellen door ervoor te zorgen dat de malware wordt gestart wanneer een gebruiker zich aanmeldt, en om zijn aanwezigheid te verbergen door kwaadaardige processen en registervermeldingen te begraven.
Een andere opmerkelijke upgrade zijn de polymorfe vaardigheden van Necro Python. Volgens de onderzoekers heeft de bot een module waarmee ontwikkelaars code kunnen bekijken zoals deze door een tolk zou worden gezien voordat deze naar bytecode wordt gecompileerd, en deze module is geïntegreerd in een engine die runtime-aanpassingen mogelijk maakt.
De engine draait elke keer dat de bot wordt gestart en het zal zijn eigen bestand lezen voordat de code wordt gewijzigd, een techniek die botdetectie kan bemoeilijken.
“Necro Python-bot laat een acteur zien die de nieuwste ontwikkeling volgt op het gebied van exploits voor het uitvoeren van externe opdrachten op verschillende webapplicaties en de nieuwe exploits in de bot opneemt”, zegt Talos. “Dit vergroot de kans op verspreiding en besmetting van systemen. Gebruikers moeten ervoor zorgen dat ze regelmatig de nieuwste beveiligingsupdates toepassen op alle applicaties, niet alleen op besturingssystemen.”
Eerdere en gerelateerde berichtgeving
Dit botnet misbruikt Bitcoin-blockchains om in de schaduw te blijven
Nu jaagt dit botnet op ongepatchte Microsoft Exchange-servers
Dit ransomware-verspreidende malware-botnet heeft zojuist gewonnen 't go away
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 