Kaiji僵尸网络重出江湖,Ares黑客团伙浮出水面?
时间:2023-03-03 01:14 来源:网络整理 作者:默认发布 点击:次
1. 概述 近期,奇安信威胁情报中心威胁监控系统监测到一个基于GO语言编写的僵尸网络正在通过多个漏洞进行传播,经过分析确认该样本属于已经被披露的僵尸网络家族 Kaiji,该僵尸网络在 2020 年由 MalwareMustDie 曝光,随后 Intezer 做了深入分析,而后 Kaiji 僵尸网络变种亦被黑莲花实验室(Lumen Technologies的威胁情报部门)称作 Chaos,深信服千里目安全实验室于2022年七月曾发布文章表示 Kaiji 僵尸网络正在重构,而我们于今年发现该僵尸网络重出江湖并进行了更新迭代。分析师在对 Kaiji 僵尸网络变种进行关联时,意外发现 Kaiji 僵尸网络竟然和我们正在跟踪的一个巨型僵尸网络租赁团伙有关,在本文中我们将披露这个来自中国的黑客团伙 —— Ares。 2. Ares 黑客团伙 2.1 团伙命名 我们将该黑客团伙命名为 Ares 的原因有三个,其一,我们发现样本作者将其编写的 Kaiji 变种称为 "ares" ,其二,新变种样本配置以 "[a=r=e=s]" 为分隔符,其三,在最近几天我们发现,该黑客团伙的多个资产统一更改成了同一登陆页面,并且该页面中也自称为 "Ares" ,黑客团伙在其页面中还写上了 “三思而后行” 的英文标语 “look before you leap”。2.2 团伙资产 Ares 团伙除了拥有 Kaiji 僵尸网络以外,还拥有多个其他家族的僵尸网络,其中包括了Mirai、Moobot及Lucifer,其中Moobot家族数量极大,且在原版基础上经过修改,我们在去年开始跟踪此团伙时将此变种命名为Moobot_jack5tr。 资产及关联如下图: 2.3 巨型租赁僵尸网络 Ares 黑客团伙拥有一个数量庞大的僵尸网络并且提供租赁服务,该团伙同时运营着多个租赁平台,下面提供了该团伙部分拥有的平台数据图,从中可以看出其使用者数量众多,发起过极大数量的DDoS攻击: DDoS 攻击租赁价格部分如下: 2.4 挖矿活动 Ares 黑客团伙除了僵尸网络以外,黑莲花实验室曾披露该团伙下发 XMRig 进行挖矿作业,我们此次分析中也发现团伙下发的 Lucifer 家族僵尸网络样本中除了DDoS攻击及远程命令执行的功能外,会单独创建线程利用 XMRig 进行挖矿:2.5 团伙所属国家及成员 (责任编辑:admin) |