Abcbot Botnet

Das Abcbot Botnet ist eine neue Botnet-Bedrohung, die aktiv entwickelt wird. Es folgt dem jüngsten Trend unter Cyberkriminellen, die Programmiersprachen zu diversifizieren, die für ihre bedrohlichen Kreationen verwendet werden, und ist in Golang (Go) geschrieben. Go ist in Kreisen von Cyberkriminellen zur bevorzugten Wahl geworden, da es plattformübergreifende Funktionen bietet und gleichzeitig die Erkennung und das Reverse Engineering der Bedrohungen erschwert. Derzeit ist die Bedrohung in der Lage, sich wurmartig auszubreiten, sich selbst zu aktualisieren, einen Webserver aufzubauen und DDoS-Angriffe durchzuführen.

Abcbots Evolution

Eines der ersten Abcbot-Beispiele wurde bereits im Juli 2021 von Forschern entdeckt. Damals war die Bedrohung relativ einfach und diente eher als Scanner für Angriffe auf Linux-Geräte, die schwache Passwörter hatten oder über bekannte Schwachstellen infiziert werden könnten. Im Wesentlichen nutzte Abcbot arbeitsähnliches Verhalten, um sich selbst zu verbreiten. Es enthielt jedoch eine Zeichenfolge namens 'dga.go', die auf die zukünftigen Absichten der Hacker hinweisen könnte.

Nicht lange danach wurde Abcbot tatsächlich mit einer DGA-Funktionalität (Domain Generation Algorithm) als Teil einer sich selbst aktualisierenden Funktion ausgestattet. Als nächstes bedeutendes Update wurde ein Open-Source-ATK-Rootkit hinzugefügt. Die Hacker wollten die DDoS-Fähigkeiten der Bedrohung steigern. Sie gaben diese spezielle Methode schnell auf, entfernten das ATK-Rootkit und gingen stattdessen mit ihrer eigenen Implementierung einer DDoS-Funktionalität vor. Als Ergebnis unterstützen die neuesten Abcbot-Versionen neun verschiedene DDoS-Angriffsmethoden, darunter TLS, TCP, UDP, ACE, HTTP GET und mehr.

Weitere Entwicklung

Während Abcbot eindeutig die sehr frühen Stadien seiner Entwicklung verlässt und sich der Reife nähert, ist es offensichtlich, dass die Bedrohung immer noch wiederholt aktiv wird. Der Entwicklungsprozess ist jedoch kein reibungsloser Weg, um zu einer komplexeren Bedrohung mit komplexen Funktionen zu werden. Stattdessen scheinen die Cyberkriminellen verschiedene Techniken auszuprobieren und zu sehen, welche für ihre Ziele am besten geeignet sind. Infolgedessen enthalten die aktuellen Abcbot-Versionen viele Inkonsistenzen, wie z.B. mehrfaches Melden von Geräteinformationen, Fehlen einer vollständig implementierten Webserver-Funktionalität, Nichtregistrieren der DGA-Domänennamen usw.