Ein neues, auf Golang basierendes Peer-to-Peer (P2P) Botnetz wurde entdeckt, das seit seinem Auftauchen im März 2022 aktiv auf Linux-Server im Bildungssektor abzielt.
Die von Akamai Security Research als Panchan bezeichnete Malware „nutzt die integrierten Gleichzeitigkeitsfunktionen, um die Ausbreitungsfähigkeit zu maximieren und Malware-Module auszuführen“ und „SSH-Schlüssel zu sammeln, um laterale Bewegungen durchzuführen“.
Das funktionsreiche Botnet, das sich auf eine einfache Liste von SSH-Standardpasswörtern stützt, um einen Wörterbuchangriff durchzuführen und seine Reichweite zu vergrößern, funktioniert in erster Linie als Kryptojacker, der die Ressourcen eines Computers kapert, um Kryptowährungen zu schürfen.
Das Unternehmen für Cybersicherheit und Cloud-Dienste entdeckte Panchans Aktivitäten erstmals am 19. März 2022 und schrieb die Malware aufgrund der Sprache, die in der Verwaltungsoberfläche der Binärdatei verwendet wird, um die Mining-Konfiguration zu bearbeiten, wahrscheinlich einem japanischen Bedrohungsakteur zu.
Panchan ist dafür bekannt, dass er während der Laufzeit zwei Miner, XMRig und nbhash, auf dem Rechner installiert und ausführt. Das Neue daran ist, dass die Miner nicht auf die Festplatte extrahiert werden, um keine forensischen Spuren zu hinterlassen.
„Um eine Entdeckung zu vermeiden und die Rückverfolgbarkeit zu verringern, legt die Malware ihre Kryptominer als Memory-Mapped-Dateien ab, ohne dass sie auf der Festplatte vorhanden sind“, so die Forscher. „Außerdem beendet sie die Cryptominer-Prozesse, wenn sie eine Prozessüberwachung feststellt.
Von den 209 infizierten Peers, die bisher entdeckt wurden, sollen 40 derzeit aktiv sein. Die meisten der infizierten Rechner befinden sich in Asien (64), gefolgt von Europa (52), Nordamerika (45), Südamerika (11), Afrika (1) und Ozeanien (1).
Ein interessanter Hinweis auf die Herkunft der Malware ist das Ergebnis eines OPSEC-Fehlers des Bedrohungsakteurs, der den Link zu einem Discord-Server enthüllte, der im „godmode“-Adminpanel angezeigt wird.
„Der Hauptchat war leer, bis auf eine Begrüßung eines anderen Mitglieds, die im März stattfand“, so die Forscher. „Es könnte sein, dass andere Chats nur für höher privilegierte Mitglieder des Servers zugänglich sind.“