Kraken新型僵尸网络—开发中的新僵尸网络

2021年10月下旬，ZeroFox Intelligence发现了一个此前不为人知的Kraken的新型僵尸网络。Kraken基于Golang语言，目前仍处于积极开发阶段，支持广泛的后门功能，可以从受感染的Windows主机中窃取敏感信息。

尽管仍处于积极开发阶段，但Kraken已经具备下载和执行二级有效载荷、运行shell命令以及截取受害者系统屏幕截图的能力。它目前利用SmokeLoader（一种用于安装其他恶意软件的恶意软件）进行传播，每次部署新的命令和控制服务器时，都会迅速获得数百个机器人。尽管名称相同，但不应将其与2008年的Kraken僵尸网络混淆，因为它们几乎没有其他共同点。

细节

自2021年10月以来，ZeroFox Intelligence一直在跟踪Kraken，目前正在积极开发中。尽管该机器人功能简单，但作者一直在尝试新功能，同时更改其他功能。Kraken的功能在不断发展，僵尸网络的当前迭代具有实现持久性、下载文件、运行shell命令以及窃取各种加密货币钱包的功能。目标钱包包括Armory、Atomic Wallet、Bytecoin、Electrum、Ethereum、Exodus、Guarda、Jaxx Liberty和Zcash。

特征

Kraken的功能集对于僵尸网络来说非常简单。虽然早期版本中不存在，但该机器人能够收集有关受感染主机的信息，并在注册期间将其发送回命令和控制(C2)服务器。尽管ZeroFox观察到正在收集以下信息，但收集的信息似乎因构建而异：

主机名

用户名

构建ID（TESTBUILD+第一次运行的时间戳）

CPU详细信息

GPU细节

操作系统和版本

Kraken Panel

Kraken的初始面板命名为“Kraken Panel”，其功能很精简，提供了基本统计数据、下载有效负载的链接、上传新有效负载的选项以及与特定数量的机器人交互的方式。Kraken面板的初始版本如下图：

Anubis Panel

Kraken C2面板的当前版本进行了彻底的重新设计并命名为Anubis。Anubis面板提供的信息比之前的Kraken面板要多得多。除了之前提供的统计信息外，现在还可以查看命令历史记录和有关受害者的信息。Anubis面板如下图：

大多数情况下，Kraken在执行后，最终在受害者的机器上下载RedLine Stealer。但随着Kraken背后的运营商不断扩大并出现更多受害者，僵尸网络可能会部署其他通用信息窃取器和加密货币矿工。