Исследователи из ASEC (AhnLab Security Emergency response Center)
Ссылка скрыта от гостей
ранее неизвестный вредоносный бэкдор, отличающийся нестандартным способом связи с командным сервером — через пиринговую сеть Bitmessage. Вместе с ним злоумышленники разворачивают майнер криптовалюты Monero на взломанных серверах, что позволяет им одновременно контролировать систему и получать прибыль от майнинга.Bitmessage — это защищённый P2P-протокол обмена сообщениями, ориентированный на анонимность и децентрализацию. В отличие от традиционного HTTP-трафика и IP-подключений, он шифрует всё содержимое и затрудняет отслеживание как отправителей, так и получателей. Эта особенность активно используется злоумышленниками: бэкдор внедряет команды C2 (command and control) в зашифрованные сообщения, маскируя их под обычную активность пользователей сети Bitmessage.
Для реализации связи злоумышленники использовали Python-библиотеку PyBitmessage, которая обрабатывает сообщения в формате, схожем с легитимным веб-трафиком. Это усложняет задачу системам кибербезопасности — вредоносные команды сложно отличить от нормальной сетевой активности.
Атака начинается с доставки зашифрованной полезной нагрузки. После активации вредоносный код расшифровывается с помощью XOR и устанавливает два компонента: бэкдор и криптомайнер. Последний использует три ключевых файла —
config.json, WinRing0x64.sys и idle_maintenance.exe — которые размещаются во временной директории %Temp%\3048491484896530841649.Сам бэкдор реализован на PowerShell и запускает сервер, прослушивающий локальный порт 8442, куда перенаправляются POST-запросы, обрабатываемые PyBitmessage. При установке компоненты пытаются загрузиться с GitHub-репозитория, но если это невозможно — используется альтернативный источник: сайт-хостинг
spcs.bio.Эксперты предупреждают, что из-за использования децентрализованной инфраструктуры обнаружение и блокировка такого вредоносного ПО требует более сложных и поведенческих методов анализа.