Read Buf

Read Buf

发现基于 Golang 的新 Zergeca 僵尸网络,可发动 DDoS 攻击

Powerful DDoS Attacks

网络安全研究人员发现了一种名为Zergeca的新型僵尸网络(botnet),它能够发动分布式拒绝服务(DDoS)攻击。

这种僵尸网络是用Golang编写的,其名称来源于指挥与控制(C2)服务器中的一个字符串“ootheca”(例如“ootheca[.]pw”和“ootheca[.]top”)。

“功能上来看,Zergeca不仅是一个普通的DDoS僵尸网络,它还支持六种不同的攻击方法,并具备代理、扫描、自我升级、持久化、文件传输、反向shell和收集敏感设备信息的能力”[19],QiAnXin XLab团队在报告中说。

Zergeca尤其特别之处在于它使用HTTP协议下的DNS(DNS-over-HTTPS,DoH)来解析指挥与控制(C2)服务器,并使用一个叫Smux的鲜为人知的库进行C2通信。

有证据表明,该恶意软件正处于积极开发和更新阶段,以支持新的命令。而且,C2 IP地址84.54.51.82曾在2023年9月之前用于传播Mirai僵尸网络 [18] 。

截至2025年4月29日,同一IP地址正式作为新僵尸网络的C2服务器,这表明威胁行为者在创建Zergeca之前,已积累了操作Mirai僵尸网络的经验。

Zergeca僵尸网络发动的攻击主要是ACK flood DDoS攻击 ,并在2024年6月初至中期之间,针对加拿大、德国和美国进行了集中攻击。

Zergeca的功能覆盖四个不同模块,分别是持久化、代理、silivaccine和僵尸模块。这些模块用于通过添加系统服务来实现持久化,实施代理功能,删除其他竞争性的恶意矿工和后门程序,获得对运行x86-64 CPU设备的绝对控制,并执行主要的僵尸网络功能。

僵尸模块负有汇报受感染设备的敏感信息给C2并接收服务器命令的责任,且支持六种类型的DDoS攻击、扫描、反向shell等功能。

“内置的竞争对手列表显示其对常见Linux威胁的深刻了解,”XLab团队表示,“比如修改过的UPX打包、对敏感字符串进行XOR加密以及利用DoH隐藏C2解析等技术,展示了强有力的规避策略理解。”