Analisis berkelanjutan dari botnet KmsdBot telah meningkatkan kemungkinan bahwa ini adalah layanan DDoS-untuk-disewa yang ditawarkan kepada pelaku ancaman lainnya.
KmsdBot adalah malware berbasis Go yang memanfaatkan SSH untuk menginfeksi sistem dan melakukan aktivitas seperti penambangan cryptocurrency dan meluncurkan perintah menggunakan TCP dan UDP untuk memasang serangan denial-of-service (DDoS) terdistribusi.
Menurut perusahaan infrastruktur web Akamai, analisis botnet KmsdBot ini didasarkan pada berbagai industri dan geografi yang diserang.
Mayoritas korban berada di Asia, Amerika Utara, dan Eropa. Beberapa target penting termasuk FiveM dan RedM, merupakan modifikasi game untuk Grand Theft Auto V dan Red Dead Redemption 2, serta merek-merek mewah dan perusahaan keamanan.
Analisis berkelanjutan menunjukkan kemungkinan bahwa ini adalah layanan DDoS-untuk-menyewa yang ditawarkan kepada pelaku ancaman lainnya.
Akamai mengidentifikasi 18 perintah berbeda yang diterima KmsdBot dari server jarak jauh, salah satunya, dijuluki “bigdata”, melayani pengiriman paket sampah yang berisi data dalam jumlah besar ke target dalam upaya menghabiskan bandwidthnya.
Pemetaan upaya infeksi botnet menandakan aktivitas minimal di wilayah Rusia dan wilayah tetangga, berpotensi menawarkan petunjuk tentang asal-usulnya.
Menurut Cashdollar, terdapat temuan upaya infeksi sekitar 24-48 jam setelah bot mati dan kemudian perintah serangan mulai masuk lagi sekitar 24 jam setelah itu. Namun, C2 terakhir yang diketahui tampaknya null dialihkan dan botnya diam.
Temuan ini muncul seminggu setelah Microsoft merinci botnet lintas platform yang dikenal sebagai MCCrash yang hadir dengan kemampuan untuk melakukan serangan DDoS terhadap server pribadi Minecraft.
Selengkapnya: The Hacker News
Tagged With: DDoS, Malware,
