新 Orchard 僵尸网络使用比特币创始人的账户信息生成恶意域名

Hackernews 编译，转载请注明出处：

据观察，一个名为Orchard的新僵尸网络使用比特币创始人中本聪的账户交易信息生成域名，以隐藏命令和控制（C2）基础设施。

奇虎360的Netlab安全团队的研究人员在周五的一份报告中表示：“由于比特币交易的不确定性，这种技术比使用常见的时间生成（域生成算法）更不可预测，因此更难防御。”

据说自2021年2月以来，Orchard已经进行了三次修订，其中僵尸网络主要用于将额外的有效载荷部署到受害者的机器上，并执行从C2服务器接收到的命令。

它还旨在上传设备和用户信息以及感染USB存储设备，以传播恶意软件。Netlab的分析显示，迄今为止，已有超过3000台主机被该恶意软件奴役，其中大部分位于中国。

Orchard在一年多的时间里也经历了重大更新，其中之一就是在Golang的实施方面进行了短暂的尝试，然后在第三次迭代中切换回C++。

除此之外，最新版本包含启动XMRig挖矿程序的功能，通过滥用受损系统的资源来铸造门罗币（XMR）。

另一个变化涉及攻击中使用的DGA算法。虽然前两个版本完全依靠日期字符串来生成域名，但较新版本使用从加密货币钱包地址“1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa”获得的余额信息。

值得指出的是，钱包地址是比特币创世纪区块的矿工奖励接收地址，该地址发生在2009年1月3日，据信由中本聪持有。

研究人员表示：“在过去十年左右的时间里，由于各种原因，每天都有少量比特币被转移到这个钱包中，所以它是可变的，而且这种变化很难预测，因此这个钱包的余额信息也可以用作DGA输入。”

研究人员揭开了一个名为RapperBot的物联网僵尸网络恶意软件的神秘面纱，该恶意软件被发现可以强制SSH服务器进行分布式拒绝服务（DDoS）攻击。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文