Команда Akamai Security Intelligence Response Team (SIRT) обнаружила новое вредоносное ПО, которое использует SSH-протокол (Secure Shell) для проникновения в целевые системы, чтобы осуществлять майнинг криптовалюты и проводить DDoS-атаки.
Эксперты назвали вредоносное ПО KmsdBot. Оно разработано на основе Golang и нацелено различные компании – от игровых до автомобильных брендов и охранных фирм.
Ботнет заражает системы через SSH-соединение, использующее «слабые» учетные данные для входа в систему. KmsdBot не остается постоянным в зараженной системе, чтобы избежать обнаружения.
Вредоносное ПО получило свое название от исполняемого файла «kmsd.exe», который загружается с удаленного сервера после успешной компрометации. Он также предназначен для поддержки нескольких архитектур - Winx86, Arm64, mips64 и x86_64.
KmsdBot может выполнять операции сканирования и самораспространения, загружая список комбинаций имени пользователя и пароля. Ботнет также умеет контролировать процессы майнинга и обновления вредоносного ПО.
По словам Akamai, первой обнаруженной целью KmsdBot была игровая компания FiveM, многопользовательский мод для GTA V, который позволяет игрокам получать доступ к пользовательским ролевым серверам.
DDoS-атаки ботнета включают атаки 4-го и 7-го уровней OSI , при которых отправляется поток запросов TCP, UDP или HTTP GET, чтобы перегрузить ресурсы целевого сервера и привести его к состоянию «отказ в обслуживании».
Примечательно то, что ботнет KmsdBot начинался как бот для игрового приложения, а превратился в инструмент для атаки на крупные и дорогие бренды.
Эксперты назвали вредоносное ПО KmsdBot. Оно разработано на основе Golang и нацелено различные компании – от игровых до автомобильных брендов и охранных фирм.
Ботнет заражает системы через SSH-соединение, использующее «слабые» учетные данные для входа в систему. KmsdBot не остается постоянным в зараженной системе, чтобы избежать обнаружения.
Вредоносное ПО получило свое название от исполняемого файла «kmsd.exe», который загружается с удаленного сервера после успешной компрометации. Он также предназначен для поддержки нескольких архитектур - Winx86, Arm64, mips64 и x86_64.
KmsdBot может выполнять операции сканирования и самораспространения, загружая список комбинаций имени пользователя и пароля. Ботнет также умеет контролировать процессы майнинга и обновления вредоносного ПО.
По словам Akamai, первой обнаруженной целью KmsdBot была игровая компания FiveM, многопользовательский мод для GTA V, который позволяет игрокам получать доступ к пользовательским ролевым серверам.
DDoS-атаки ботнета включают атаки 4-го и 7-го уровней OSI , при которых отправляется поток запросов TCP, UDP или HTTP GET, чтобы перегрузить ресурсы целевого сервера и привести его к состоянию «отказ в обслуживании».
Примечательно то, что ботнет KmsdBot начинался как бот для игрового приложения, а превратился в инструмент для атаки на крупные и дорогие бренды.