تم رصد روبوت شبكة نظير إلى نظير (P2P) جديد قائم على Golang يستهدف خوادم Linux في قطاع التعليم بشكل نشط منذ ظهوره في مارس 2022.

البرنامج الضار ، الذي أطلق عليه اسم Panchan من قبل Akamai Security Research ، “يستخدم ميزات التزامن المضمنة لزيادة قابلية الانتشار وتنفيذ وحدات البرامج الضارة” و “يحصد مفاتيح SSH لأداء الحركة الجانبية.”

الروبوتات المليئة بالميزات ، والتي تعتمد على قائمة أساسية بكلمات مرور SSH الافتراضية لتنفيذ هجوم على القاموس وتوسيع نطاقه ، تعمل بشكل أساسي كجاكير تشفير مصمم لاختطاف موارد الكمبيوتر لتعدين العملات المشفرة.

أشارت شركة الأمن السيبراني والخدمات السحابية إلى أنها رصدت نشاط Panchan لأول مرة في 19 مارس 2022 ، وعزت البرنامج الضار إلى ممثل تهديد ياباني محتمل استنادًا إلى اللغة المستخدمة في اللوحة الإدارية المخبأة في الملف الثنائي لتحرير تكوين التعدين.

من المعروف أن Panchan ينشر وينفذ اثنين من عمال المناجم ، XMRig و nbhash ، على المضيف أثناء وقت التشغيل ، والجديد هو أنه لا يتم استخراج عمال المناجم إلى القرص لمنع ترك أثر الطب الشرعي.

وقال الباحثون: “لتجنب الاكتشاف وتقليل إمكانية التتبع ، تسقط البرمجيات الخبيثة عوامل التشفير الخاصة بها كملفات معيّنة للذاكرة ، دون أي وجود على القرص”. “كما أنه يقتل عمليات التشفير إذا اكتشف أي مراقبة للعملية.”

من بين 209 أقرانًا مصابين تم اكتشافهم حتى الآن ، يقال إن 40 منهم نشطون حاليًا. تقع معظم الأجهزة المخترقة في آسيا (64) ، تليها أوروبا (52) وأمريكا الشمالية (45) وأمريكا الجنوبية (11) وإفريقيا (1) وأوقيانوسيا (1).

دليل مثير للاهتمام حول أصول البرامج الضارة هو نتيجة فشل OPSEC من جانب ممثل التهديد ، وكشف الرابط إلى خادم Discord المعروض في لوحة إدارة “godmode”.

وقال الباحثون: “الدردشة الرئيسية كانت فارغة باستثناء تحية عضو آخر حدثت في مارس”. “قد تكون الدردشات الأخرى متاحة فقط لأعضاء الخادم ذوي الامتيازات الأعلى.”