威胁形势中出现了新的基于 Golang 的 Zergeca 僵尸网络

威胁形势中出现了新的基于 Golang 的 Zergeca 僵尸网络

威胁形势中出现了新的基于 Golang 的 Zergeca 僵尸网络

研究人员发现了一个名为 Zergeca 的新型基于 Golang 的僵尸网络，它可以执行分布式拒绝服务 (DDoS) 攻击。

奇安信 XLab 团队的研究人员发现了一个名为 Zergeca 的新型基于 Golang 的僵尸网络，它可以执行分布式拒绝服务 (DDoS) 攻击。

2024 年 5 月，研究人员在 /usr/bin/geomi 检测到一个可疑的 ELF 文件，该文件从俄罗斯上传到 VirusTotal。该文件使用经过修改的 UPX 打包，并具有唯一的魔数 0x30219101，但未被标记为恶意文件。同一天，德国上传了一个类似的文件。专家们发现了来自不同国家的多个上传文件。分析显示，该文件是一个基于 Golang 的僵尸网络。该僵尸网络因其 C2 字符串“ootheca”而被命名为“Zergeca”，让人联想到《星际争霸》中的虫族群。

DDoS 僵尸网络 Zergeca 支持六种攻击方法，并实现了代理、扫描、自我升级、持久性、文件传输、反向 shell 和收集敏感设备信息等附加功能。独特功能包括多种 DNS 解析方法，优先使用 DNS over HTTPS (DoH) 进行命令和控制 (C2) 解析，并使用不常见的 Smux 库进行 C2 通信，通过 XOR 加密

DoH

分析显示，Zergeca 的 C2 IP 地址 84[.]54.51.82 自 2023 年 9 月以来与至少两个 Mirai 僵尸网络相关联。研究人员推测 Zergeca 的作者可能从操作 Mirai 僵尸网络中获得经验。

Mirai

从 2024 年 6 月初到中旬，该僵尸网络被用于对加拿大、美国和德国的组织发动 DDoS 攻击。主要攻击类型是 ackFlood (atk_4)，专家注意到受害者分布在多个国家和不同的 ASN。

报告 报告 geomi.service geomi

皮尔路易吉·帕格尼尼

皮尔路易吉·帕格尼尼 皮尔路易吉·帕格尼尼 ( –