Nhóm nghiên cứu của XLab cho biết: "Về mặt chức năng, Zergeca không chỉ là một botnet thực hiện tấn công DDoS thông thường; ngoài việc hỗ trợ sáu phương pháp tấn công khác nhau, nó còn có khả năng tạo proxy, rà quét, tự nâng cấp, duy trì, truyền tệp, reverse shell và thu thập các thông tin nhạy cảm trên thiết bị".
Một điểm đáng chú ý của Zergeca là mạng botnet này sử dụng DNS-over-HTTPS (DoH) để thực hiện phân giải DNS của máy chủ điều khiển và ra lệnh (C2), đồng thời sử dụng một thư viện ít được biết đến là Smux cho liên lạc C2.
Có bằng chứng cho thấy Zergeca đang không ngừng phát triển và cập nhật để hỗ trợ các lệnh mới. Hơn nữa, địa chỉ IP C2 84[.]54[.]51[.]82 được cho là đã từng được sử dụng để phân phối botnet Mirai vào khoảng tháng 9/2023. Với việc cùng một địa chỉ IP được sử dụng làm máy chủ C2 cho mạng botnet mới, làm dấy lên khả năng rằng những kẻ tấn công đã có kinh nghiệm vận hành mạng botnet Mirai trước khi tạo ra Zergeca.
Các cuộc tấn công do botnet này thực hiện chủ yếu là tấn công DDoS ACK flood với các mục tiêu nhắm vào Canada, Đức và Hoa Kỳ trong khoảng nửa đầu tháng 6/2024.
Các tính năng của Zergeca bao gồm bốn module riêng biệt, bao gồm duy trì tính bền vững, thiết lập proxy, SiliVaccine (diệt virus) và zombie. Zergeca thiết lập tính bền vững bằng cách thêm dịch vụ hệ thống, triển khai proxy, loại bỏ phần mềm độc hại và backdoor khác để giành quyền kiểm soát duy nhất đối với các thiết bị chạy trên CPU x86-64 và xử lý chức năng botnet chính.
Modul zombie có trách nhiệm báo cáo các thông tin nhạy cảm từ thiết bị bị xâm nhập đến C2 và chờ lệnh từ máy chủ, hỗ trợ sáu loại tấn công DDoS, rà quét, reverse shell và các chức năng khác.
XLab cho biết các kỹ thuật như đóng gói UPX, mã hóa XOR cho các chuỗi dữ liệu nhạy cảm và sử dụng DoH để ẩn liên lạc C2 cho thấy sự hiểu biết sâu sắc của tin tặc về các chiến thuật để trốn tránh sự giám sát và phát hiện từ các giải pháp bảo mật.
Thanh Bình
(Theo thehackernews)
09:00 | 08/03/2024
13:00 | 23/10/2024
17:00 | 30/08/2024
08:00 | 06/02/2024
13:00 | 09/10/2024
15:00 | 26/01/2024
09:00 | 08/06/2023
16:00 | 22/01/2025
Trong tháng 12, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 10/12/2024
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025
