Die Sicherheitsforscher von Akamai haben ein neues, auf Golang basiertes Peer-to-Peer (P2P) Botnetz namens Panchan entdeckt und analysiert, das seit März vor allem Linux-Server im Bildungssektor angreift. Neben dem "einfachen" SSH-Wörterbuchangriff, der bei den meisten Würmern üblich ist, erbeutet diese Malware auch SSH-Schlüssel, um laterale Bewegungen durchzuführen.
Nachdem er ein System infiziert hat, sucht Panchan nach vorhandenen SSH-Schlüsseln und verwendet diese, oder er versucht, durch Brute-Force-Angriffe an Anmeldedaten zu gelangen.
Sobald der Vorgang abgeschlossen ist, wird ein versteckter Ordner erstellt, in dem die Datei gespeichert wird. Von dort aus wird die Binärdatei ausgeführt und ein HTTPS-POST-Vorgang an einen Discord-Webhook zur Überwachung des Ziels initiiert.
Das Botnet wird in erster Linie für das Mining von Kryptowährungen über infizierte Rechner eingesetzt. Panchan ist besonders heimtückisch, weil es mit Hilfe von Memory Mapped Minern und einem Schutzmechanismus, der das Mining-Modul im Falle einer Prozessüberwachung sofort stoppt und Sicherheitssysteme umgehen kann.
Von den 209 infizierten Peers, die bisher entdeckt wurden, sollen 40 derzeit aktiv sein. Die meisten der infizierten Rechner befinden sich in Asien (64), gefolgt von Europa (52), Nordamerika (45), Südamerika (11), Afrika (1) und Ozeanien (1).
Basierend auf der Aktivität der Malware und der Geolokalisierung des Opfers, der Sprache des Admin-Panels und der Discord-Benutzeraktivität geht Akamai von einem japanischen Bedrohungsakteur aus.
Die Multi-Faktor-Authentifizierung (MFA) von Akamai kann das Risiko des Abfangens von SSH-Schlüsseln vermindern. Darüber hinaus sollte die Konfiguration starker SSH-Passwörter die Malware aufhalten, da sie eine sehr einfache Liste von Standardpasswörtern zur Verbreitung verwendet.
Akamai hat auch IOCs, Abfragen, Signaturen und Skripte veröffentlicht, die zum Testen auf Infektionen verwendet werden können.