Zergeca：《星际争霸》中的 DDoS 怪物攻击 Linux

狡猾的僵尸网络会榨干每台受感染设备的所有资源。

XLab 安全团队的研究人员最近在网络空间发现了一种新的僵尸网络 Zergeca，该网络以其先进的功能而著称，对数百万数字设备构成严重威胁。 Zergeca 不仅能够执行 DDoS 攻击，还能够执行许多其他恶意功能。

XLab 最近在网络空间发现 僵尸网络 DDoS

2024年5月20日，XLab在其客户端之一的Linux平台上的“/usr/bin/geomi”目录中检测到可疑的ELF文件。该文件使用修改后的 UPX 进行打包，很长一段时间都未被防病毒程序检测到。

Linux

经过分析，研究人员发现这是一个用Golang实现的僵尸网络。鉴于其 C2 基础设施使用字符串“ootheca”，让人想起《星际争霸》中的虫族，XLab 专家将其称为僵尸网络 Zergeca，强调其攻击性和快速传播。

Golang C2

Zergeca支持六种DDoS攻击方式，以及代理、扫描、自我更新、持久化、文件传输、反向脱壳、敏感信息收集等功能。

Zergeca 使用多种 DNS 解析方法，包括 DNS over HTTPS (DOH)。还使用了 C2 协议的 Smux 库，通过 XOR 提供加密。这使得僵尸网络能够有效隐藏其活动并使其更难以检测。

分析显示，用于C2的IP地址84.54.51.82自2023年9月以来已为两个Mirai僵尸网络提供服务，这说明其创建者积累了丰富的经验。 Zergeca的主要分发方式包括利用弱Telnet密码以及漏洞CVE-2022-35733和CVE-2018-10562。

CVE-2022-35733 CVE-2018-10562。

僵尸网络包含 Silivaccine 模块，可消除矿工和木马等竞争威胁，确保对受感染设备的垄断并发挥最大性能。