研究人员认为,Dark Frost是使用从Qbot、Gafgyt和Mirai恶意软件中窃取/泄露的源代码创建的,用于执行DDoS攻击。Web基础设施公司Akamai的安全情报响应团队发现了一个新的僵尸网络,该僵尸网络针对游戏行业进行DDoS攻击。Akamai安全研究员Allen West解释说,他们将这个僵尸网络命名为Dark Frost。根据他们的分析,这个僵尸网络类似于之前发现的几个僵尸网络和恶意软件变种,包括Qbot、Gafgyt和Mirai。研究人员认为,Dark Frost是使用从这些菌株中窃取的代码创建的,以允许攻击者成功执行DDoS攻击。
Akamai于2023年2月标记了该僵尸网络,但他们认为攻击者自2022年5月以来一直活跃。当Akamai研究人员对该僵尸网络进行逆向工程时,据报道其通过UDP洪水攻击的潜力为629.28Gbps。第一个二进制样本于2月28日在Akamai SIRT的 HTTP 蜜罐中收集。
据报道,威胁参与者的目标是Hadoop YARN服务器中的错误配置,这使他们能够进行远程代码执行。这种YARN错误配置自2014年以来就存在,但尚未分配CVE,因此攻击者可以诱骗服务器下载/运行他们的恶意二进制文件。
根据Akamai的博客文章,Dark Frost最突出的目标包括游戏公司、在线流媒体服务、游戏服务器托管提供商和游戏社区成员。事实上,研究人员指出,攻击者直接与这些成员进行了互动。
研究人员无法确定该活动的确切动机,但他们怀疑它是为了吸引注意力。有趣的是,威胁者甚至发布了攻击的现场录音。
他们也在社交媒体上吹嘘这些攻击,声称他们使用僵尸网络与对手算账,并在二进制文件上留下数字签名。该攻击者还创建了一个Discord频道来提供DDoS服务以换取金钱,这表明该活动也可能出于经济动机。
通常,僵尸网络包括遍布全球的成百上千台受损设备。在Dark Frost的案例中,它在短时间内包含了数百个受损设备。到2023年2月为止,这个僵尸网络有414台受感染的机器运行不同的指令集架构,包括x86、ARMv4、ARM7、MIPSEL和MIPS。
评论已关闭。