Abcbot僵尸网络与Xanthe的密码劫持活动有关

Abcbot僵尸网络与Xanthe的密码劫持活动有关

1月10日，研究人员对一个名为Abcbot的新兴DDoS僵尸网络背后的基础设施的新研究发现，它与2020年12月曝光的一次加密货币挖掘僵尸网络攻击有“明确”的联系。研究人员认为，Xanthe和Abcbot由同一攻击者开发，并且其活动目标发生了转变，从在受感染主机上挖掘加密货币，转向更传统的与僵尸网络相关的活动，例如DDoS攻击。

Xanthe

Xanthe是一个加密劫持恶意软件家族，其主要目标是劫持系统资源以挖掘Monero加密货币。Xanthe搜索并感染暴露的Docker API端点。它的主要模块负责传播和部署额外的有效载荷，以隐藏恶意软件的进程、禁用安全性、移除其他矿工。

Abcbot

Abcbot最初于2021年7月被观察到，包含DDoS功能。研究人员在分析Abcbot的基础架构时，发现了与Xanthe恶意软件活动之间的联系。在比较来自两个活动的恶意软件样本后，发现两个恶意软件家族的代码和功能集也有很明显的相似性。

Abcbot和Xanthe的基础设施架构

Abcbot和Xanthe的基础设施架构如下图，左侧表示Abcbot基础设施，右侧表示Xanthe基础设施：

两个恶意软件家族都具有相似的编码风格，函数在文件顶部声明，然后在后面的一些行中调用，并且共享相似的函数命名。这两个恶意软件家族都在受感染的系统上创建了四个具有完全相同名称的恶意用户，并且都搜索并删除可能与竞争活动相关的用户。此外，两个恶意软件样本都是可以轻松复制的shell脚本，表现出可以代码重用的特点。