Eine laufende Analyse des KmsdBot-Botnetzes hat die Möglichkeit aufgeworfen, dass es sich um einen DDoS-for-hire-Service handelt, der anderen Bedrohungsakteuren angeboten wird.
Das geht aus den verschiedenen Branchen und Regionen hervor, die angegriffen wurden, so das Webinfrastrukturunternehmen Akamai. Zu den bemerkenswerten Zielen gehörten FiveM und RedM, die Spielemodifikationen für Grand Theft Auto V und Red Dead Redemption 2 anbieten, sowie Luxusmarken und Sicherheitsfirmen.
KmsdBot ist eine Go-basierte Malware, die SSH nutzt, um Systeme zu infizieren und Aktivitäten wie das Mining von Kryptowährungen durchzuführen und Befehle über TCP und UDP zu starten, um verteilte Denial-of-Service (DDoS)-Angriffe durchzuführen.
Ein fehlender Fehlerprüfungsmechanismus im Quellcode der Malware führte jedoch dazu, dass die Malware-Betreiber letzten Monat versehentlich ihr eigenes Botnetz zum Absturz bra chten.
„Ausgehend von den beobachteten IPs und Domains befinden sich die meisten Opfer in Asien, Nordamerika und Europa“, so die Akamai-Forscher Larry W. Cashdollar und Allen West. „Das Vorhandensein dieser Befehle deckt sich mit früheren Beobachtungen von gezielten Gaming-Servern und bietet einen Einblick in die Kunden dieses Botnet for hire“.
Akamai, das den Angriffsverkehr untersuchte, identifizierte 18 verschiedene Befehle, die KmsdBot von einem entfernten Server akzeptiert. Einer davon, „bigdata“, dient dazu, Junk-Pakete mit großen Datenmengen an ein Ziel zu senden, um dessen Bandbreite auszuschöpfen.
Außerdem sind Befehle wie „fivem“ und „redm“ enthalten, die auf Mod-Server für Videospiele abzielen, sowie ein „Scan“-Befehl, der scheinbar auf bestimmte Pfade innerhalb der Zielumgebung abzielt.
Die Analyse der Infektionsversuche des Botnetzes zeigt minimale Aktivitäten auf russischem Territorium und in den Nachbarregionen, was möglicherweise einen Hinweis auf die Herkunft des Botnetzes gibt.
Eine weitere Aufschlüsselung der über einen Zeitraum von 30 Tagen beobachteten Angriffsbefehle zeigt, dass „bigdata“ mit einer Häufigkeit von mehr als 70 an der Spitze steht. Der Befehl „fivem“ wurde 45 Mal aufgerufen, während „redm“ weniger als 10 Mal aufgerufen wurde.
„Das zeigt uns, dass Gaming-Server zwar ein spezielles Ziel sind, aber nicht die einzige Branche, die von diesen Angriffen betroffen ist“, so die Forscher. „Die Unterstützung für verschiedene Arten von Servern erhöht die allgemeine Nutzbarkeit dieses Botnetzes und scheint effektiv zu sein, um Kunden anzulocken“.
Die Ergebnisse kommen eine Woche, nachdem Microsoft ein plattformübergreifendes Botnetz namens MCCrash vorgestellt hat, das DDoS-Angriffe auf private Minecraft-Server durchführen kann.