Ein neues Botnetz namens Orchard wurde dabei beobachtet, wie es die Kontotransaktionsdaten des Bitcoin-Schöpfers Satoshi Nakamoto zur Generierung von Domainnamen verwendet, um seine Command-and-Control (C2)-Infrastruktur zu verschleiern.
„Aufgrund der Ungewissheit von Bitcoin-Transaktionen ist diese Technik unvorhersehbarer als die üblichen zeitgenerierten [Domain-Generierungsalgorithmen] und daher schwieriger abzuwehren“, so die Forscher des Netlab-Sicherheitsteams von Qihoo 360 in einem Bericht vom Freitag.
Orchard soll seit Februar 2021 dreimal überarbeitet worden sein. Das Botnetz wird in erster Linie dazu verwendet, zusätzliche Nutzlasten auf den Rechnern der Opfer zu platzieren und Befehle auszuführen, die vom C2-Server kommen.
Es wurde auch entwickelt, um Geräte- und Benutzerinformationen hochzuladen und USB-Speichergeräte zu infizieren, um die Malware zu verbreiten. Die Analyse von Netlab zeigt, dass bisher über 3.000 Rechner von der Malware versklavt wurden, die meisten davon in China.
Orchard wurde in den letzten Jahren mehrfach aktualisiert. Bei einer der Aktualisierungen wurde die Malware kurzzeitig in Golang implementiert, bevor sie in der dritten Version wieder auf C++ umstieg.
Darüber hinaus enthält die neueste Version Funktionen, mit denen ein XMRig-Mining-Programm gestartet werden kann, um Monero (XMR) zu schürfen, indem die Ressourcen des kompromittierten Systems missbraucht werden.
Eine weitere Änderung betrifft die Verwendung des DGA-Algorithmus, der bei den Angriffen eingesetzt wird. Während sich die ersten beiden Varianten ausschließlich auf Datumsstrings stützen, um die Domainnamen zu generieren, verwendet die neuere Version Saldeninformationen, die von der Kryptowährungs-Wallet-Adresse „1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa“ stammen.
Es ist erwähnenswert, dass es sich bei der Wallet-Adresse um die Adresse des Bitcoin Genesis Blocks handelt, der am 3. Januar 2009 stattfand und von dem angenommen wird, dass er von Nakamoto gehalten wird.
„In den letzten zehn Jahren wurden täglich kleine Bitcoin-Beträge aus verschiedenen Gründen in diese Wallet transferiert, so dass der Kontostand variabel ist und sich nur schwer vorhersagen lässt“, so die Forscher.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem Forscher ein IoT-Botnetz mit dem Codenamen RapperBot entlarvt haben, das SSH-Server ausspioniert hat, um DDoS-Angriffe (Distributed Denial of Service) durchzuführen.