【安全资讯】Abcbot僵尸网络与Xanthe加密劫持恶意软件有关

引言

1月10日，研究人员发布报告称，新兴僵尸网络Abcbot与几年前基于Xanthe恶意软件的加密劫持活动存在明显联系。研究人员认为，Xanthe 和 Abcbot由同一攻击者开发，并且其活动目标发生了转变，从在受感染主机上挖掘加密货币，转向更传统的与僵尸网络相关的活动，例如 DDoS 攻击。

简况

Xanthe是一个加密劫持恶意软件家族，其主要目标是劫持系统资源以挖掘 Monero加密货币。Xanthe 搜索并感染暴露的 Docker API 端点。它的主要模块负责传播和部署额外的有效载荷，以隐藏恶意软件的进程、禁用安全性、移除其他矿工。

Abcbot 最初于 2021 年 7 月被观察到，包含 DDoS 功能。研究人员在分析 Abcbot 的基础架构时，发现了与Xanthe恶意软件活动之间的联系。在比较来自两个活动的恶意软件样本后，发现两个恶意软件家族的代码和功能集也有很明显的相似性。

Abcbot和Xanthe的基础设施架构如下图，左侧表示Abcbot 基础设施，右侧表示Xanthe基础设施：

两个恶意软件家族都具有相似的编码风格，函数在文件顶部声明，然后在后面的一些行中调用，并且共享相似的函数命名。这两个恶意软件家族都在受感染的系统上创建了四个具有完全相同名称的恶意用户，并且都搜索并删除可能与竞争活动相关的用户。此外，两个恶意软件样本都是可以轻松复制的 shell 脚本，表现出可以代码重用的特点。

总结

Xanthe 和 Abcbot 恶意软件家族之间存在多种联系，研究人员以高置信度评估，这两个恶意软件由同一威胁行为者开发。