Panchan: новый пиринговый ботнет на базе Golang атакует Linux-серверы

Согласно сообщению команды исследователей безопасности компании Akamai , Panchan использует параллелизм в системе жертвы, пытаясь быстро распространиться и выполнить как можно больше вредоносных модулей. Вредонос также собирает SSH-ключи для бокового перемещения. Ботнет проводит словарные атаки и быстро захватывает системы, используя список стандартных SSH-паролей.

Akamai Security Research отметила, что впервые заметила активность Panchan 19 марта 2022 года. Специалисты приписали атаки с использованием вредоноса японским хакерам и заявили, что он был написан на Golang и встроен в двоичный файл. ПО словам экспертов, Panchan работает как криптоджекер, использующий устройства жертвы для добычи криптовалют.

В системах жертв Panchan развертывает майнеры XMRig и nbhash. Чтобы оставаться незамеченной, вредоносная программа завершает процессы криптомайнеров, если пользователь следит за процессами. Кроме того, Panchan не оставляет никаких следов на диске, так как запускает майнеры в виде файлов, привязанных к памяти.

Из 209 зараженных узлов, 40 активны в данный момент. Большая часть зараженных узлов находится в Азии (64), за ней следуют Европа (52), Северная Америка (45), Южная Америка (11), Африка (1) и Океания (1).

Интересной подсказкой о происхождении Panchan стала промашка со стороны злоумышленников, которые раскрыли ссылку на свой Discord-сервер. "Главный чат был пуст, в нем было только мартовское приветствие одного из пользователей сервера", – говорят специалисты Akamai. "Скорее всего, другие чаты доступнs пользователям c особыми привелегиями на сервере".