Neues Golang-basiertes Botnetz fährt leistungsstarke DDoS-Angriffe
Cybersecurity-Experten haben Zergeca entdeckt, ein in Golang geschriebenes Botnet, das in der Lage ist, starke verteilte Denial-of-Service-Angriffe (DDoS) durchzuführen. Der Name leitet sich von der Zeichenfolge "ootheca" in den Command-and-Control-Servern ab.
Das Zergeca-Botnet ist weit mehr als ein typisches DDoS-Botnet. Laut einem Bericht des QiAnXin XLab-Teams beherrscht es neben sechs verschiedenen Angriffsarten auch Proxying, Scanning, Self-Upgrading, Persistenz, Dateitransfer, Reverse Shell und das Sammeln sensibler Geräteinformationen.
Besonders bemerkenswert ist die Verwendung von DNS-over-HTTPS (DoH) für die DNS-Auflösung des Command-and-Control (C2)-Servers, was die Erkennung und Blockierung erschwert. Zudem nutzt Zergeca die weniger bekannte Smux-Bibliothek für die C2-Kommunikation, was zur Verschleierung der Netzwerkaktivitäten beiträgt.
Es gibt Hinweise darauf, dass die Entwickler hinter Zergeca die Malware aktiv weiterentwickeln und regelmäßig aktualisieren, um neue Befehle und Funktionen zu integrieren. Interessanterweise wurde die C2-IP-Adresse 84.54.51[.]82 bereits im September 2023 für die Verbreitung des bekannten Mirai-Botnets verwendet. Seit dem 29. April 2024 dient dieselbe IP-Adresse als C2-Server für Zergeca, was darauf hinweist, dass die Bedrohungsakteure möglicherweise bereits Erfahrung mit dem Betrieb von Mirai-Botnets gesammelt haben.
Die von Zergeca durchgeführten Angriffe, insbesondere ACK-Flood-DDoS-Angriffe, richteten sich zwischen Anfang und Mitte Juni 2024 gegen Ziele in Kanada, Deutschland und den Vereinigten Staaten.
Zergeca besteht aus vier Hauptmodulen mit spezifischen Aufgaben:
- Persistenz: Einrichtung von Systemdiensten, um sicherzustellen, dass die Malware nach einem Neustart des Systems aktiv bleibt.
- Proxy: Implementierung von Proxying-Funktionen.
- Silivaccine: Entfernung konkurrierender Miner- und Backdoor-Malware.
- Zombie: Erfassung und Meldung sensibler Informationen vom infizierten Gerät an den C2-Server sowie Ausführung von Befehlen, darunter DDoS-Angriffe, Scanning und Reverse Shell.
Das Zombie-Modul ist besonders wichtig, da es die Hauptfunktionen des Botnetzes steuert und die exklusive Kontrolle über Geräte mit der x86-64-CPU-Architektur ermöglicht.
Das XLab-Team hebt hervor, dass die Techniken von Zergeca, wie modifiziertes UPX-Packing, XOR-Verschlüsselung für sensible Strings und die Nutzung von DoH zur Verschleierung der C2-Auflösung, ein starkes Verständnis von Umgehungstaktiken zeigen. Zudem weist die eingebaute Liste konkurrierender Malware auf eine hohe Vertrautheit mit gängigen Linux-Bedrohungen hin.