AT&T Alien Labs 的一个团队上周披露了这个问题,并将其描述为一种难以检测的恶意软件。该僵尸网络于 2021 年 11 月首次被发现,它一直是之前几次攻击的基础。然而,随着恶意软件的源代码现在可用,可能会有更多的活动。
事实上,将源代码泄露到 GitHub “可能会导致新的恶意软件变种显着增加,因为恶意软件作者将能够使用源代码并使其适应他们的目标,” Alien Labs 安全研究员 Ofer Caspi 解释道。“Alien Labs 希望看到基于 BotenaGo 变体的新活动,针对全球路由器和物联网设备。”
Caspi 指出,防病毒软件在检测恶意软件方面仍然做得不够出色。即使是去年的第一个 BotenaGo 恶意软件样本,也设法找到了超越 AV 软件的方法。一旦进入系统,僵尸网络就会传播常见的 Mirai 恶意软件,并且还会扩展到其他恶意软件负载。
泄漏
这种情况最有趣的方面之一是源代码泄漏发生在更广泛的恶意软件发现之前。Alien Labs 表示,自 10 月 16 日起,即首次“发现”僵尸网络的大约一个月前,漏洞就出现了。
威胁者现在可以轻松访问僵尸网络的源代码,并可以对其进行修改以使恶意软件更强大、更高效或更危险。值得注意的是,同一个 GitHub 存储库还有其他黑客工具。
Alien Labs 表示,BotenaGo 恶意软件的低代码代码仍然有效。它仅对 2,891 行代码进行攻击,其中包括任何注释和空行。早在 11 月,研究团队就表示该僵尸网络可以利用 33 个漏洞。
“今天,BotenaGo 变体作为独立的漏洞利用工具包和其他恶意软件的传播工具,” Caspi 说。“现在任何恶意黑客都可以使用其源代码,新的恶意活动可以很容易地添加到恶意软件中。Alien Labs 看到了这些恶意软件变种显着增加的潜力,从而产生潜在的新恶意软件系列,可能使数百万路由器和物联网设备面临攻击风险。”
