Аналитики «Лаборатории Касперского» сообщили об обнаружении необычного ботнета под названием Tsunder3, написанного на Node.js и использующего нестандартный механизм команд-и-контроля.
Вместо традиционных C2-серверов злоумышленники применяют блокчейн Ethereum: команды для ботов внедряются непосредственно в транзакции, что делает инфраструктуру управления практически неуничтожимой.
По данным исследователей, автор ботнета использует особый аккаунт в сети Ethereum, куда отправляются транзакции с данными, закодированными в поле input.
Заражённые устройства регулярно проверяют историю этого кошелька, извлекают команды и исполняют их. Такой подход позволяет операторам ботнета обходить блокировки, закрывать реальные серверы управления и маскировать свою активность под обычные операции в сети блокчейна.
Tsunder3 заражает устройства через открытые порты и слабые пароли, после чего превращает их в узлы для дальнейших атак. Ботнет умеет выполнять произвольные команды, загружать дополнительные модули и проводить DDoS-атаки. Эксперты отмечают, что код написан достаточно аккуратно, а структура построена так, чтобы усложнить детектирование.
Интересно, что автор ботнета активно взаимодействует с сообществом, оставляя ироничные сообщения внутри кода, а также обновляя версию вредоноса «как продукт», комментируют исследователи. Тем не менее масштабы распространения Tsunder3 пока ограничены, и эта кампания находится на стадии активного развития.
Специалисты подчёркивают, что использование публичного блокчейна как C2-механизма - опасный тренд. Такие системы трудно отключить, а злоумышленники могут менять команды, не оставляя традиционных сетевых следов. Администраторам серверов рекомендуют закрывать неиспользуемые порты, применять сложные пароли и отслеживать аномальные обращения к Ethereum-нодам.
Источник
Вместо традиционных C2-серверов злоумышленники применяют блокчейн Ethereum: команды для ботов внедряются непосредственно в транзакции, что делает инфраструктуру управления практически неуничтожимой.
По данным исследователей, автор ботнета использует особый аккаунт в сети Ethereum, куда отправляются транзакции с данными, закодированными в поле input.
Заражённые устройства регулярно проверяют историю этого кошелька, извлекают команды и исполняют их. Такой подход позволяет операторам ботнета обходить блокировки, закрывать реальные серверы управления и маскировать свою активность под обычные операции в сети блокчейна.
Tsunder3 заражает устройства через открытые порты и слабые пароли, после чего превращает их в узлы для дальнейших атак. Ботнет умеет выполнять произвольные команды, загружать дополнительные модули и проводить DDoS-атаки. Эксперты отмечают, что код написан достаточно аккуратно, а структура построена так, чтобы усложнить детектирование.
Интересно, что автор ботнета активно взаимодействует с сообществом, оставляя ироничные сообщения внутри кода, а также обновляя версию вредоноса «как продукт», комментируют исследователи. Тем не менее масштабы распространения Tsunder3 пока ограничены, и эта кампания находится на стадии активного развития.
Специалисты подчёркивают, что использование публичного блокчейна как C2-механизма - опасный тренд. Такие системы трудно отключить, а злоумышленники могут менять команды, не оставляя традиционных сетевых следов. Администраторам серверов рекомендуют закрывать неиспользуемые порты, применять сложные пароли и отслеживать аномальные обращения к Ethereum-нодам.
Источник
