Кроссплатформенный вредонос, реализованный на Python и Go, распространяется через Telegram в обмен на криптовалютный платёж.
Злоумышленники, стоящие за разработкой вредоносного инструмента DDoSia, разработали новую версию зловредного ПО, которая включает в себя обновлённый механизм получения списка целей для их «бомбардировки» нежелательными HTTP-запросами.
Обновленный вариант, написанный на языке Go, «реализует дополнительный механизм безопасности для сокрытия списка целей, который передается от C2-сервера хакеров прямо к пользователям», — сообщила в техническом отчёте компания по кибербезопасности Sekoia.
DDoSia приписывается хакерской группе под названием NoName (057)16, предположительно имеющей связи с Россией и действующей в её интересах. Запущенный в 2022 году и являющийся преемником ботнета Bobik, инструмент DDoSia, согласно данным Avast, предназначен для организации распределенных атак типа «отказ в обслуживании» (DDoS) против целей, расположенных в разных частях света.
Литва, Польша, Италия, Чехия, Дания, Латвия, Франция, Великобритания и Швейцария стали странами, подвергшимися наибольшим атакам в период с 8 мая по 26 июня 2023 года. В общей сложности было затронуто 486 различных веб-сайтов.
На сегодняшний день обнаружены реализации DDoSia на основе Python и Golang, что делает его кроссплатформенной программой, способной использоваться в системах Windows, Linux и macOS.
«DDoSia — это многопоточное приложение, которое производит атаки типа "отказ в обслуживании" против целевых сайтов путем многократной выдачи сетевых запросов», — объяснили специалисты SentinelOne в анализе, опубликованном в январе 2023 года. «DDoSia выдает запросы в соответствии с инструкциями файла конфигурации, который вредоносная программа получает с C2-сервера при запуске».
DDoSia распространяется с помощью полностью автоматизированного Telegram-бота, который позволяет отдельным лицам регистрироваться в краудсорсинговой инициативе, получая ZIP-архив, содержащий инструментарий для атаки, в обмен на криптовалютный платеж.
Что примечательно в последней версии инструментария, так это использование шифрования для маскировки списка целей, подлежащих атаке, что затрудняет анализ экспертам по кибербезопасности, а также указывает на то, что инструмент активно поддерживается операторами.
«NoName057 (16) прилагает усилия, чтобы сделать своё вредоносное ПО совместимым с несколькими операционными системами, что почти наверняка отражает их намерение поразить как можно большее число жертв», — сказали в Sekoia.
Одно найти легче, чем другое. Спойлер: это не темная материя