یک بات نت جدید به نام Orchard با استفاده از اطلاعات تراکنش حساب خالق بیت کوین ساتوشی ناکاموتو برای ایجاد نام دامنه برای پنهان کردن زیرساخت فرمان و کنترل (C2) خود مشاهده شده است.
به گزارش تک ناک، محققان تیم امنیتی Netlab Qihoo 360 در گزارش روز جمعه خود آورده اند: به دلیل نامشخص بودن تراکنشهای بیتکوین، این تکنیک غیرقابل پیشبینیتر از استفاده از [الگوریتمهای تولید دامنه] متداول تولید شده با زمان است، و بنابراین دفاع در برابر آن دشوارتر است.
گفته می شود که Orchard از فوریه 2021 تحت سه بازنگری قرار گرفته است .این بازنگری ها نشان میدهداز است این بات عمدتاً برای تولید بارهای اضافی بر روی سیستم قربانی و اجرای دستورات دریافتی از سرور C2 استفاده می شود.
Orchadبرای آپلود اطلاعات دستگاه و کاربر و همچنین آلوده کردن دستگاه های ذخیره سازی USB برای انتشار بدافزار طراحی شده است. تجزیه و تحلیل Netlab نشان می دهد که بیش از 3000 میزبان تا به امروز توسط این بدافزار آلوده شده اند که بیشتر آنها در چین قرار دارند.
Orchard همچنین در بیش از یک سال تحت بهروزرسانیهای مهمی قرار گرفته است، که یکی از آنها مستلزم تلاش مختصری با Golang برای اجرای آن است، قبل از اینکه در تکرار سوم به C++ برگردد.
علاوه بر این، آخرین نسخه دارای ویژگیهایی برای راهاندازی یک برنامه استخراج XMRig برای استخراج مونرو (XMR) با سوء استفاده از منابع سیستم آلوده شده به Orchad است.
تغییر دیگر مربوط به استفاده از الگوریتم DGA است که در حملات استفاده شده است. در حالی که دو گونه اول منحصراً به رشته های تاریخ برای تولید نام دامنه متکی هستند، نسخه جدیدتر از اطلاعات موجودی به دست آمده از آدرس کیف پول ارزهای دیجیتال استفاده می کند.
شایان ذکر است که آدرس کیف پولیکه Orchad از آن استفاده میکند، آدرس دریافت پاداش ماینر بلاک Genesis بیت کوین است که در 3 ژانویه 2009 ایجاد شده و گمان می رود که توسط ناکاموتو نگهداری شود.
پژوهشگران میگویند “طی یک دهه گذشته، مقادیر کمی بیت کوین به دلایل نامعلوم به صورت روزانه به این کیف پول منتقل شده است، بنابراین پیش بینی تغییرات آن دشوار است.احتمالا از اطلاعات موجودی حساب این کیف پول برای ورودی DGA استفاده شده است.”
این یافتهها زمانی به دست میآیند که محققان یک بدافزار باتنت اینترنت اشیا با نام رمز RapperBot را کشف کردند که سرورهای SSH را بهطور بالقوه مجبور به انجام حملات انکار سرویس توزیعشده (DDoS) میکند.