Akamai Technologiesは2022年6月15日、公式ブログ「Panchan’s Mining Rig: New Golang Peer-to-Peer Botnet Says “Hi!”」において、Linuxサーバを標的とした新しいP2Pボットネットの「Panchan」に関する解析結果を公表した。

Panchanは2022年3月に発見されたGolang製ボットネットで、感染したホストに暗号通貨マイナーをデプロイして実行するほか、SSHキーを収集して自動で感染範囲を拡大する機能を持つという。また、日本語の管理パネルを持つことから、日本人によって作成されたものだと推測されている。

Akamaiの研究者によれば、Panchanはランダム化されたIPアドレスに対してブルートフォース攻撃や辞書攻撃を実施して新たな感染先を探すことに加え、ホストマシンのid_rsaファイルとknown_hostsファイルを読み取って既存の資格情報を収集し、それを用いて感染を拡大させる機能を持っていることがわかったという。

Panchanの主な機能は暗号通貨のマイニングで、ホスト上にXMRigとnbhashという2種類の暗号通貨マイナーをデプロイして実行することが判明している。検出を避けるために、これらのマイナーはディスクには記録されず、メモリマップドファイルとして展開される。また、プロセスモニタリングを検出した場合は、自動でマイナーのプロセスを強制終了する機能も備えている。

このボットネットにはマイニング構成などを編集するための管理パネルが備わっているが、これの管理パネルのインタフェースに日本語が使用されていることから、これが作成者の地理的な位置(すなわち日本)を示唆していると指摘されている。Akamaiの研究者がこれまでに発見したPanchanのピアはアジア地域が最も多く、これも作成者が日本にいることを説明している可能性があるとのこと。

  • 日本語で記述されたPanchanの管理パネル(引用: Akamai Blog)

    日本語で記述されたPanchanの管理パネル 引用: Akamai Blog

  • Panchanピアの分布(引用: Akamai Blog)

    Panchanピアの分布 引用: Akamai Blog

Panchanは教育セクターのLinuxサーバを積極的に標的にしていることがわかっているという。Akamaiのレポートには、Panchanの感染の検出に役立つIoC(侵入の痕跡)などの情報が掲載されているほか、VMで実行できる検出用のbashスクリプトも公開されている。