HTTP-бомбардировка и шифрование списка целей — зловредный инструментарий DDoSia обновился до новой версии

HTTP-бомбардировка и шифрование списка целей — зловредный инструментарий DDoSia обновился до новой версии

Кроссплатформенный вредонос, реализованный на Python и Go, распространяется через Telegram в обмен на криптовалютный платёж.

image

Злоумышленники, стоящие за разработкой вредоносного инструмента DDoSia, разработали новую версию зловредного ПО, которая включает в себя обновлённый механизм получения списка целей для их «бомбардировки» нежелательными HTTP-запросами.

Обновленный вариант, написанный на языке Go, «реализует дополнительный механизм безопасности для сокрытия списка целей, который передается от C2-сервера хакеров прямо к пользователям», — сообщила в техническом отчёте компания по кибербезопасности Sekoia.

DDoSia приписывается хакерской группе под названием NoName (057)16, предположительно имеющей связи с Россией и действующей в её интересах. Запущенный в 2022 году и являющийся преемником ботнета Bobik, инструмент DDoSia, согласно данным Avast, предназначен для организации распределенных атак типа «отказ в обслуживании» (DDoS) против целей, расположенных в разных частях света.

Литва, Польша, Италия, Чехия, Дания, Латвия, Франция, Великобритания и Швейцария стали странами, подвергшимися наибольшим атакам в период с 8 мая по 26 июня 2023 года. В общей сложности было затронуто 486 различных веб-сайтов.

На сегодняшний день обнаружены реализации DDoSia на основе Python и Golang, что делает его кроссплатформенной программой, способной использоваться в системах Windows, Linux и macOS.

«DDoSia — это многопоточное приложение, которое производит атаки типа "отказ в обслуживании" против целевых сайтов путем многократной выдачи сетевых запросов», — объяснили специалисты SentinelOne в анализе, опубликованном в январе 2023 года. «DDoSia выдает запросы в соответствии с инструкциями файла конфигурации, который вредоносная программа получает с C2-сервера при запуске».

DDoSia распространяется с помощью полностью автоматизированного Telegram-бота, который позволяет отдельным лицам регистрироваться в краудсорсинговой инициативе, получая ZIP-архив, содержащий инструментарий для атаки, в обмен на криптовалютный платеж.

Что примечательно в последней версии инструментария, так это использование шифрования для маскировки списка целей, подлежащих атаке, что затрудняет анализ экспертам по кибербезопасности, а также указывает на то, что инструмент активно поддерживается операторами.

«NoName057 (16) прилагает усилия, чтобы сделать своё вредоносное ПО совместимым с несколькими операционными системами, что почти наверняка отражает их намерение поразить как можно большее число жертв», — сказали в Sekoia.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь