В своем
Ботнет был обнаружен «в живой природе» в марте 2022 года. Он написан на языке программирования Golang. Это достаточно гибкий язык, который позволяет легче заражать различные архитектуры компьютеров и дистрибутивы Linux.
После получения доступа к серверу через SSH вирус создает скрытую папку и размещает себя там под именем «xinetd.». Затем обращается к специальному серверу Discord через запрос HTTPS POST. Делается это для отслеживания заражения изготовившими вредоносную программу хакерами. После вирус копирует себя как «/bin/system-worker» и регистрируется в качестве нового сервиса systemd, чтобы встать в список программ для автозагрузки.
Интересно, что общение ботнета и управляющего центра не зашифровано и проходит по порту TCP 1919. По этому порту вирус получает конфигурацию майнера и другие настройки. Для майнинга используется ПО NiceHash, поэтому специалисты Akamai не смогли оценить транзакции и масштабы ботнета.
Большая часть зараженных сетей принадлежит к образовательным учреждениям, расположенным в США. При этом, судя по определенным признакам, ботнет – родом из Японии.
Недавно компания Microsoft
Источник: