Orchard adlı yeni bir botnet, Bitcoin yaratıcısı Satoshi Nakamoto’nun komut ve kontrol (C2) altyapısını gizlemek için alan adları oluşturmak için hesap işlem bilgilerini kullanarak gözlemlendi.
“Bitcoin işlemlerinin belirsizliği nedeniyle, bu teknik, ortak zaman tarafından oluşturulan yöntemleri kullanmaktan daha tahmin edilemez. [domain generation algorithms]Qihoo 360’ın Netlab güvenlik ekibinden araştırmacılar Cuma günkü bir yazısında, “ve dolayısıyla savunmak daha zor” dedi.
Orchard’ın Şubat 2021’den bu yana üç revizyondan geçtiği söyleniyor, botnet öncelikle kurbanın makinesine ek yükler dağıtmak ve C2 sunucusundan alınan komutları yürütmek için kullanılıyor.
Ayrıca, kötü amaçlı yazılımı yaymak için cihaz ve kullanıcı bilgilerini yüklemek ve USB depolama cihazlarına bulaşmak üzere tasarlanmıştır. Netlab’ın analizi, bugüne kadar çoğu Çin’de bulunan 3.000’den fazla ana bilgisayarın kötü amaçlı yazılım tarafından köleleştirildiğini gösteriyor.
Orchard ayrıca, üçüncü yinelemesinde C++’a geri dönmeden önce, uygulanması için Golang ile kısa bir deneme gerektiren, bir yılı aşkın bir süredir önemli güncellemelere maruz kaldı.
Bunun da ötesinde, en son sürüm, tehlikeye atılan sistemin kaynaklarını kötüye kullanarak Monero (XMR) basmak için bir XMRig madencilik programı başlatma özellikleri içeriyor.
Diğer bir değişiklik ise saldırılarda kullanılan DGA algoritmasının kullanımına ilişkindir. İlk iki değişken, alan adlarını oluşturmak için yalnızca tarih dizelerine güvenirken, daha yeni sürüm, kripto para birimi cüzdan adresinden “1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa” elde edilen bakiye bilgilerini kullanır.
Cüzdan adresinin 3 Ocak 2009’da meydana gelen ve Nakamoto tarafından tutulduğuna inanılan Bitcoin Genesis Block’un madenci ödül alma adresi olduğunu belirtmekte fayda var.
“Son on yılda, çeşitli nedenlerle günlük olarak bu cüzdana küçük miktarlarda bitcoin aktarıldı, bu nedenle değişkendir ve bu değişikliği tahmin etmek zordur, bu nedenle bu cüzdanın bakiye bilgisi aynı zamanda şu şekilde kullanılabilir. DGA girişi” dedi araştırmacılar.
Bulgular, araştırmacıların, potansiyel olarak dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için kaba kuvvet uygulayan SSH sunucuları tespit edilen RapperBot kod adlı yeni ortaya çıkan bir IoT botnet kötü amaçlı yazılımının örtüsünü kaldırmasıyla geldi.