Ramnit aktörer bidra i skapandet av det svart Proxy botnät

Computer Security News

Checkpoint säkerhetsexperter rapporterat att de hittat en massiv proxy botnet, spåras som ”svart” botnet, skapad av Ramnit utvecklare.

Ramnit registrerades först i 2010 och det är för närvarande känt som en av de mest populära bank malware familjerna. I 2011, botnet utvecklarna har förbättrat den Start från läckt Zeus källkoden och förvandlar den skadliga koden till en bank Trojan. År 2014 blev det ”svarta” botnät det fjärde största botnät i världen.

Nästa år, meddelade Europol takedown Ramnit C2 infrastruktur. Men bara några månader senare, IBM säkerhetsexperter funnit en helt ny version av Ramnit Trojan.

För ett tag sedan rapporterade forskarna att de ”svarta” botnät har infekterade mer än 100 000 enheter i två månader, och detta är bara början eftersom en andra etappen malware kallas Ngioweb redan sprider sig runt.

Troligen, använder utvecklarna av Ramnit två malware för att skapa en stor, multi-purpose proxy-botnet som skulle kunna användas för ett antal bedrägliga aktiviteter.

”Vi upptäckte nyligen Ramnit C & C server (185.44.75.109) som inte är relaterad till det tidigare vanligaste botnät”demetra”. Domännamn som har lösts till IP-adressen för denna C & C server, det låtsas styra även gamla bots, först sett tillbaka under 2015. Vi heter detta botnet ”svart” på grund av RC4 nyckelvärdet, ”svart”, som används för trafikkryptering i detta botnet ”. Checkpoint säkerhet analys staterna.

”Denna C & C server har faktiskt varit aktiv sedan 6: e mars 2018 men inte väcka uppmärksamhet på grund av den låga kapaciteten av det” svarta ”botnät då. Dock i maj-juli 2018 vi upptäckt en ny Ramnit kampanj med omkring 100 000 datorer smittade ”.

Forskarna hävdar att i den svarta operationen, Ramnit malware distribueras via spam kampanjer. Den skadliga koden fungerar som en första etappen malware och används för att leverera en andra etappen malware kallas Ngioweb.

Ngioweb representerar en multifunktionell proxy-server som använder sina egna binära protokoll med två lager av kryptering ”, Checkpoint analysen läser.

”Den proxy malware stöden back-Anslut läge, relä läge, IPv4, IPv6-protokoll, TCP och UDP transporter, med första prover sett under andra halvåret 2017”.

Vilken Ngioweb malware gör, är att utnyttja en tvåstegs C & C infrastruktur, där scenen-0 C & C servern meddelar malware om steg-1 C & C servern medan okrypterad http-anslutningen används för detta ändamål. Den andra scen-1 C & C servern används för att styra skadlig kod via en krypterad anslutning.

Ngioweb kan köras i två huvudsakliga lägen – regelbundna back-ansluta proxy och det relä proxy-läget. Ngioweb att vara i relä proxy-läge, och låter dess skapare bygga kedjor av proxyservrar och dölja sina tjänster bakom IP-adressen till en bot.


Leave a Reply

Your email address will not be published. Required fields are marked *