Aeternum C2僵尸网络利用Polygon区块链存储加密指令规避打击
网络安全研究人员近日披露了一个名为Aeternum C2的新型僵尸网络加载器详情,该恶意软件采用基于区块链的命令和控制基础设施,使其能够抵御传统的打击措施。
"Aeternum不依赖传统服务器或域名进行命令控制,而是将指令存储在公共Polygon区块链上,"Qrator Labs在与The Hacker News分享的报告中表示。"这一网络被去中心化应用广泛使用,包括全球最大的预测市场Polymarket。这种方法使Aeternum的C2基础设施实际上变得永久存在且能抵御传统打击方法。"
这并非僵尸网络首次被发现依赖区块链进行C2操作。2021年,谷歌曾采取行动打击名为Glupteba的僵尸网络,该网络使用比特币区块链作为备用C2机制来获取实际C2服务器地址。
Aeternum C2的详情最初在2025年12月浮出水面,当时Outpost24的KrakenLabs透露,一个名为LenAI的威胁行为者在地下论坛上以200美元的价格宣传这款恶意软件,为客户提供访问面板和配置构建的权限。据称,客户花费4000美元可获得完整的C++代码库及更新。
作为一个支持x32和x64构建的原生C++加载器,该恶意软件通过将要发送给受感染主机的命令写入Polygon区块链上的智能合约来工作。机器人随后通过查询公共远程过程调用端点来读取这些命令。
所有这些都通过基于网络的面板进行管理,客户可以从中选择智能合约、选择命令类型、指定载荷URL并进行更新。命令可以针对所有端点或特定端点,作为交易写入区块链,之后所有轮询网络的受损设备都可以使用它。
"一旦命令得到确认,除了钱包持有者之外,任何人都无法更改或删除它,"Qrator Labs表示。"操作者可以同时管理多个智能合约,每个合约可能服务于不同的载荷或功能,如剪贴板劫持器、窃取器、远程访问木马或挖矿程序。"
根据Ctrl Alt Intel本月早些时候发布的两部分研究,C2面板实现为Next.js网络应用程序,允许操作者将智能合约部署到Polygon区块链。智能合约包含一个函数,当恶意软件通过Polygon RPC调用时,会返回加密命令,随后在受害者机器上解码并运行。
除了使用区块链将其转变为抗打击僵尸网络外,该恶意软件还具备各种反分析功能以延长感染的生存期。这包括检测虚拟化环境的检查,以及为客户提供通过Kleenscan扫描其构建的能力,确保不会被反病毒供应商标记。
"运营成本微乎其微:价值1美元的MATIC(Polygon网络的原生代币)足以进行100到150次命令交易,"这家捷克网络安全供应商表示。"操作者不需要租用服务器、注册域名或维护除加密钱包和面板本地副本之外的任何基础设施。"
威胁行为者此后试图以10000美元的要价出售整个工具包,声称缺乏支持时间且参与了另一个项目。"我将把整个项目卖给一个人,允许转售和商业使用,拥有所有'权利',"LenAI说。"我还会提供有用的开发技巧/注释,这些是我没有时间实现的。"
值得注意的是,LenAI还开发了名为ErrTraffic的第二个犯罪软件解决方案,使威胁行为者能够通过在受损网站上生成虚假故障来自动化ClickFix攻击,诱导虚假紧迫感并欺骗用户遵循恶意指令。
与此同时,Infrawatch发布了一项地下服务的详情,该服务将专用笔记本硬件部署到美国家庭中,将设备纳入名为DSLRoot的住宅代理网络,通过它们重定向恶意流量。
该硬件设计运行基于Delphi的程序DSLPylon,具备枚举网络上支持调制解调器的能力,以及通过Android调试桥集成远程控制住宅网络设备和Android设备。
"归因分析确定操作者为白俄罗斯国民,居住在明斯克和莫斯科,"Infrawatch表示。"DSLRoot估计在美国20多个州运营约300台活跃硬件设备。"
操作者被确定为Andrei Holas(也称Andre Holas和Andrei Golas),该服务在BlackHatWorld上由用户GlobalSolutions推广,声称以每月190美元的价格出售物理住宅ADSL代理以获得无限制访问。还提供六个月990美元和年度订阅1750美元的选项。
"DSLRoot的定制软件提供消费级调制解调器(ARRIS/Motorola、Belkin、D-Link、ASUS)和Android设备的自动化远程管理,通过ADB实现IP地址轮换和连接控制,"该公司指出。"该网络无需身份验证运营,允许客户通过美国住宅IP匿名路由流量。"
Q&A
Q1:Aeternum C2僵尸网络是什么?它有什么特点?
A:Aeternum C2是一个新型僵尸网络加载器,其最大特点是采用基于区块链的命令和控制基础设施。它将指令存储在公共Polygon区块链上,而不依赖传统服务器或域名,这使其能够抵御传统的打击措施,基础设施实际上变得永久存在。
Q2:Aeternum C2的运营成本高吗?
A:运营成本非常低。价值1美元的MATIC(Polygon网络的原生代币)就足以进行100到150次命令交易。操作者不需要租用服务器、注册域名或维护除加密钱包和面板本地副本之外的任何基础设施。
Q3:DSLRoot住宅代理网络是如何运作的?
A:DSLRoot通过将专用笔记本硬件部署到美国家庭中,将这些设备纳入住宅代理网络。该硬件运行名为DSLPylon的程序,能够枚举支持的调制解调器,并通过Android调试桥远程控制住宅网络设备,实现IP地址轮换和匿名流量路由。