Scoperta botnet Zergeca, una nuova minaccia nel cyberspazio

I ricercatori di XLab hanno scoperto una nuova botnet chiamata Zergeca, che rappresenta una minaccia avanzata per i dispositivi digitali.

Questa botnet, rilevata per la prima volta a maggio 2024, è implementata in Golang e supporta vari metodi di attacco DDoS, oltre a funzioni di proxying, scansione, aggiornamento automatico, trasferimento di file, shell inversa e raccolta di informazioni sensibili.

I ricercatori hanno rilevato anche l’utilizzo di DNS-over-HTTPS (DoH) per eseguire la risoluzione del Domain Name System (DNS) del server C2 (IP 84.54.51[.]82) e della libreria Smux per le comunicazioni C2, constatando inoltre che l’IP C2 sarebbe stato precedentemente utilizzato per distribuire la botnet Mirai intorno a settembre 2023.

Metodi di distribuzione

Zergeca sfrutta password Telnet deboli e vulnerabilità note per diffondersi.

CVE-2022-35733
CVE-2018-10562
CVE-2018-10561
CVE-2017-17215
CVE-2016-20016

Una volta compromesso un dispositivo, ottiene la persistenza aggiungendo un servizio di sistema che garantisce l’avvio automatico al riavvio del dispositivo.

Impatto

Zergeca ha preso di mira principalmente Canada, Stati Uniti e Germania, con attacchi che hanno colpito diversi ASN principalmente di tipo ackFlood.

Sebbene attualmente sia progettata per Linux, ci sono riferimenti ad Android e Windows nel codice, suggerendo possibili sviluppi futuri.

La scoperta di Zergeca evidenzia la continua evoluzione delle botnet e la loro crescente sofisticazione.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.