新果园僵尸网络利用比特币创始人的账户信息生成恶意域名

已观察到一个名为 Orchard 的新僵尸网络使用比特币创建者 Satoshi Nakamoto 的账户交易信息生成域名以隐藏其命令和控制 (C2) 基础设施。

“由于比特币交易的不确定性，这种技术比使用常见的时间生成[域生成算法]更难以预测，因此更难以防御，”奇虎 360 的 Netlab 安全团队的研究人员在周五的一篇文章中表示。

据说自 2021 年 2 月以来，Orchard 经历了三次修订，僵尸网络主要用于将额外的有效负载部署到受害者的机器上并执行从 C2 服务器接收到的命令。

它还旨在上传设备和用户信息以及感染 USB 存储设备以传播恶意软件。Netlab 的分析表明，迄今为止，已有超过 3,000 台主机被该恶意软件奴役，其中大部分位于中国。

在一年多的时间里，Orchard 也进行了重大更新，其中一次需要与 Golang 进行一次简短的尝试，然后在第三次迭代中切换回 C++。

最重要的是，最新版本包含启动 XMRig 挖矿程序以通过滥用受感染系统的资源来铸造 Monero (XMR) 的功能。

另一个变化与攻击中使用的 DGA 算法有关。虽然前两个变体完全依赖日期字符串来生成域名，但较新的版本使用从加密货币钱包地址“ 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa ”获得的余额信息。

值得指出的是，钱包地址是比特币创世区块的矿工奖励接收地址，发生在2009年1月3日，据信为中本聪持有。

“过去十年左右，由于各种原因，每天都有少量比特币转移到这个钱包，所以它是可变的，这种变化很难预测，所以这个钱包的余额信息也可以用作DGA 输入，”研究人员说。

研究人员揭开了代号为RapperBot的新生物联网僵尸网络恶意软件的面纱，该恶意软件被发现暴力破解 SSH 服务器以可能执行分布式拒绝服务 (DDoS) 攻击。