鑽石舞台

研究人員報告，有一個新的、仍在開發的、基於Golang的殭屍網絡，名為Kraken，其強大程度完全不像是一個新生的殭屍網絡：它使用SmokeLoader惡意軟件加載程序，正像野火一樣傳播，並且已經為其運營商賺取了3,000美元/月的可觀收入。

ZeroFox威脅研究員Stephan Simon在周三的一篇文章中寫道，雖然它的名字聽起來很熟悉，但Kraken與2008年的同名殭屍網絡幾乎沒有關係。

根據西蒙的帖子，Kraken利用SmokeLoader在目標機器上安裝更多惡意軟件，每次部署新的命令和控制（C2）服務器時，都會收集數百個新機器人。

ZeroFox於2021年10月下旬發現了之前未知的殭屍網絡，該殭屍網絡仍在積極發展中。ZeroFox說，儘管它仍在開發中，但它已經能夠從Windows主機中竊取敏感數據，能夠下載和執行輔助有效負載，運行shell命令並截取受害者系統的屏幕截圖。

ZeroFox分享了Kraken面板初始版本的屏幕截圖——如下所示，C2被命名為「Kraken面板」——功能很精簡。它提供了基本統計數據、下載有效負載的鏈接、上傳新有效負載的選項以及與特定數量的機器人交互的方式。

西蒙指出：「這個版本似乎不允許運營商選擇與哪些受攻擊者互動。」

但是，如下所示，Kraken的C2面板的當前版本已經完全重新設計並重命名為Anubis。「Anubis面板為操作員提供的信息比原來的Kraken面板要多得多，」西蒙說，「除了之前提供的統計數據外，現在還可以查看命令歷史記錄和有關受害者的信息。」

Kraken的作者一直在修補、添加和刪除功能。此時，Kraken可以保持持久性，收集主機信息，下載和執行文件，運行shell命令，截圖，竊取各種加密貨幣錢包，包括Zcash、Armory、Atomic、Bytecoin、Electrum、Ethereum、Exodus、Guarda和Jaxx Liberty。

後來的迭代變得更加豐富，作者增加了對命令目標的選擇性選擇（單獨或按組，而早期版本只允許機器人操作員選擇他們要瞄準的受害者數量）、任務和命令歷史、任務ID、正在發送的命令、命令應該發送給多少受害者、目標地理位置以及任務啟動時間的時間戳。

起初，從2021年10月到2021年12月，每次Kraken襲擊時，RedLine信息竊取程序都會對受害者的機器造成影響。RedLine是一種日益流行的信息竊取程序，它從瀏覽器中竊取數據，例如保存的憑據、自動完成數據和信用卡信息。

然而，該惡意軟件已經展開了它的觸角，不僅添加了其他中間人，還讓它的經營者賺了一大筆錢。西蒙的文章稱：「隨着Kraken背後的運營商繼續擴張並收集更多受害者，ZeroFox開始觀察到正在部署的其他通用信息竊取者和加密貨幣礦工。」

截至周三，殭屍網絡每月的收入約為3,000美元，如下面的屏幕截圖所示。

我們目前尚不清楚運營商計劃如何處理新機器人及其信息竊取者正在收集的所有數據，ZeroFox研究人員總結道：「目前尚不清楚運營商打算如何處理收集到的被盜憑據，或者創建這個新殭屍網絡的最終目標是什麼。」

ZeroFox傳遞了這些建議，以防止Kraken擾亂您的系統：

·確保防病毒和入侵檢測軟件與所有補丁程序和規則集都是最新的。

·為所有組織帳戶啟用雙重身份驗證，以幫助減輕網絡釣魚和憑證填充攻擊。

·維護定期安排的備份例程，包括異地存儲和完整性檢查。

·避免打開未經請求的附件，切勿單擊可疑鏈接。

·儘可能多地記錄和監控所有管理操作，警惕任何可疑活動。

·查看網絡日誌以了解是否存在數據泄露的潛在跡象。

參考及來源：https://threatpost.com/golang-botnet-pulling-in-3k-month/178509/