En nyligen genomförd Necro Python-botkampanj har visat att utvecklaren bakom skadlig programvara arbetar hårt med att öka sin kapacitet.
På torsdag publicerade forskare från Cisco Talos en rapport på Necro Python, en bot som har utvecklats sedan 2015. Botnets utvecklingsutveckling dokumenterades i januari 2021 av både Check Point Research (CPR) och Netlab 360, spårades separat som FreakOut och Necro.
Utvecklaren bakom Necro Python-botten har gjort ett antal förändringar för att öka kraften och mångsidigheten hos botten, inklusive utnyttjande av över 10 olika webbapplikationer och SMB-protokollet som beväpnas i botens senaste kampanjer. Exploits ingår för sårbarheter i programvara som VMWare vSphere, SCO OpenServer och Vesta Control Panel.
En version av botnet, som släpptes den 18 maj, inkluderar också exploateringar för EternalBlue (CVE-2017-0144) och EternalRomance (CVE-2017-0147).
Boten kommer först att försöka utnyttja dessa sårbarheter på både Linux- och Windows-baserade operativsystem. Om det lyckas använder skadlig programvara en JavaScript-nedladdare, Python-tolk och skript och körbara filer som skapats med pyinstaller för att börja ropa det kompromitterade systemet i botnet som en slavmaskin.
Necro Python kommer sedan att upprätta en anslutning till en C2-server (Command-and-Control) för att upprätthålla kontakt med sin operatör, ta emot kommandon, för att exfiltrera data eller för att distribuera ytterligare skadliga nyttolaster.
Ett nytt tillskott till botten är en kryptovalutaminerare, XMRig, som används för att generera Monero (XMR) genom att stjäla den komprometterade maskinens datorresurser.
“Bot injicerar också koden för att ladda ner och köra en JavaScript-baserad gruvarbetare från en angriparstyrd server till HTML- och PHP-filer på infekterade system”, säger forskarna. “Om användaren öppnar det infekterade programmet kommer en JavaScript-baserad Monero-gruvarbetare att köras i sin webbläsares processutrymme.”
Andra funktioner inkluderar möjligheten att starta distribuerade denial-of-service (DDoS) -attacker, dataexfiltrering och nätverkssniffning.
Ett rootkit för användarläge installeras också för att upprätta uthållighet genom att säkerställa att skadlig programvara startas när en användare loggar in och döljer sin närvaro genom att begrava skadliga processer och registerposter.
En annan uppgradering är Necro Pythons polymorfa förmågor. Enligt forskarna har boten en modul som gör det möjligt för utvecklare att se kod som den skulle ses av en tolk innan den kompilerades till bytecode, och den här modulen har integrerats i en motor som kan möjliggöra runtime-modifieringar.
Motorn körs varje gång bot startas och den läser sin egen fil innan den ändrar koden, en teknik som kan göra detektering av bot svårare.
“Necro Python-botten visar en skådespelare som följer den senaste utvecklingen i fjärrkommandoutnyttjande i olika webbapplikationer och inkluderar de nya exploateringarna i botten”, säger Talos. “Detta ökar chanserna att sprida och infektera system. Användare måste se till att de regelbundet använder de senaste säkerhetsuppdateringarna på alla applikationer, inte bara operativsystem.”
Tidigare och relaterad täckning
Detta botnet missbrukar Bitcoin-blockkedjor för att stanna kvar i skuggan
Nu söker detta botnet efter unpatched Microsoft Exchange-servrar
Detta ransomware-spridande malware botnet vann precis går inte bort –
Har du ett tips? Ta kontakt säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Data Management CXO Data Centers 