Nhóm nghiên cứu của XLab cho biết: "Về mặt chức năng, Zergeca không chỉ là một botnet thực hiện tấn công DDoS thông thường; ngoài việc hỗ trợ sáu phương pháp tấn công khác nhau, nó còn có khả năng tạo proxy, rà quét, tự nâng cấp, duy trì, truyền tệp, reverse shell và thu thập các thông tin nhạy cảm trên thiết bị".
Một điểm đáng chú ý của Zergeca là mạng botnet này sử dụng DNS-over-HTTPS (DoH) để thực hiện phân giải DNS của máy chủ điều khiển và ra lệnh (C2), đồng thời sử dụng một thư viện ít được biết đến là Smux cho liên lạc C2.
Có bằng chứng cho thấy Zergeca đang không ngừng phát triển và cập nhật để hỗ trợ các lệnh mới. Hơn nữa, địa chỉ IP C2 84[.]54[.]51[.]82 được cho là đã từng được sử dụng để phân phối botnet Mirai vào khoảng tháng 9/2023. Với việc cùng một địa chỉ IP được sử dụng làm máy chủ C2 cho mạng botnet mới, làm dấy lên khả năng rằng những kẻ tấn công đã có kinh nghiệm vận hành mạng botnet Mirai trước khi tạo ra Zergeca.
Các cuộc tấn công do botnet này thực hiện chủ yếu là tấn công DDoS ACK flood với các mục tiêu nhắm vào Canada, Đức và Hoa Kỳ trong khoảng nửa đầu tháng 6/2024.
Các tính năng của Zergeca bao gồm bốn module riêng biệt, bao gồm duy trì tính bền vững, thiết lập proxy, SiliVaccine (diệt virus) và zombie. Zergeca thiết lập tính bền vững bằng cách thêm dịch vụ hệ thống, triển khai proxy, loại bỏ phần mềm độc hại và backdoor khác để giành quyền kiểm soát duy nhất đối với các thiết bị chạy trên CPU x86-64 và xử lý chức năng botnet chính.
Modul zombie có trách nhiệm báo cáo các thông tin nhạy cảm từ thiết bị bị xâm nhập đến C2 và chờ lệnh từ máy chủ, hỗ trợ sáu loại tấn công DDoS, rà quét, reverse shell và các chức năng khác.
XLab cho biết các kỹ thuật như đóng gói UPX, mã hóa XOR cho các chuỗi dữ liệu nhạy cảm và sử dụng DoH để ẩn liên lạc C2 cho thấy sự hiểu biết sâu sắc của tin tặc về các chiến thuật để trốn tránh sự giám sát và phát hiện từ các giải pháp bảo mật.
Thanh Bình
(Theo thehackernews)
09:00 | 08/03/2024
13:00 | 23/10/2024
17:00 | 30/08/2024
08:00 | 06/02/2024
13:00 | 09/10/2024
15:00 | 26/01/2024
09:00 | 08/06/2023
09:00 | 24/02/2025
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-32838 có đểm CVSS 9,4 được phát hiện trong Apache Fineract, nền tảng mã nguồn mở phổ biến được sử dụng để xây dựng hệ thống ngân hàng lõi cho các dịch vụ tài chính số.
10:00 | 17/02/2025
Một cuộc tấn công Brute Force mật khẩu quy mô lớn sử dụng gần 2,8 triệu địa chỉ IP đã diễn ra, nhằm dò đoán thông tin đăng nhập của nhiều thiết bị mạng, bao gồm cả các thiết bị từ Palo Alto Networks, Ivanti và SonicWall.
14:00 | 07/01/2025
Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
11:00 | 11/03/2025
