Poderosos ataques de DDoS
5 de Julho de 2024

Pesquisadores de cibersegurança descobriram uma nova botnet chamada Zergeca, capaz de realizar ataques de negação de serviço distribuído (DDoS).

Desenvolvida em Golang, a botnet foi assim denominada devido à referência a uma string chamada "ootheca" presente nos servidores de comando e controle (C2) ("ootheca[.]pw" e "ootheca[.]top").

"Funcionalmente, Zergeca não é apenas uma típica botnet de DDoS; além de suportar seis diferentes métodos de ataque, também possui capacidades para proxy, scan, auto-atualização, persistência, transferência de arquivos, shell reverso e coleta de informações sensíveis do dispositivo," disse a equipe da QiAnXin XLab em um relatório.

Zergeca também se destaca por usar DNS-over-HTTPS (DoH) para realizar a resolução do Sistema de Nomes de Domínio (DNS) do servidor C2 e por usar uma biblioteca menos conhecida chamada Smux para comunicações C2.

Há evidências que sugerem que os malwares estão em desenvolvimento ativo e atualizando o malware para suportar novos comandos.

Além disso, o endereço IP C2 84.54.51[.]82 teria sido usado anteriormente para distribuir a botnet Mirai por volta de setembro de 2023.

A partir de 29 de abril de 2025, o mesmo endereço IP começou a ser utilizado como um servidor C2 para a nova botnet, levantando a possibilidade de que os atores de ameaças "acumularam experiência operando as botnets Mirai antes de criar Zergeca." Os ataques montados pela botnet, principalmente ataques DDoS do tipo ACK flood, visaram Canadá, Alemanha e EUA entre o início e meados de junho de 2024.

As características da Zergeca abrangem quatro módulos distintos – nomeadamente persistência, proxy, silivaccine e zumbi – para estabelecer persistência adicionando um serviço de sistema, implementando proxy, removendo malware minerador e backdoor concorrentes, e ganhando controle exclusivo sobre dispositivos que executam a arquitetura de CPU x86-64, e lidar com a funcionalidade principal da botnet.

O módulo zumbi é responsável por reportar informações sensíveis do dispositivo comprometido para o C2 e aguarda comandos do servidor, suportando seis tipos de ataques DDoS, scan, shell reverso e outras funções.

"A lista de concorrentes embutida mostra familiaridade com ameaças Linux comuns," disse a XLab.

Técnicas como empacotamento UPX modificado, criptografia XOR para strings sensíveis e uso de DoH para ocultar a resolução C2 demonstram um forte entendimento de táticas de evasão.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...