25/07/25
Об этом сообщает аналитический центр AhnLab Security Intelligence Center (ASEC), который отслеживает подобные угрозы с помощью специально настроенных honeypot-серверов.
Одним из недавних случаев стала атака на один из таких honeypot-серверов. Злоумышленники подобрали слабые логины и пароли через методику перебора и, получив доступ по SSH, немедленно загрузили ботнет-программу. Основу этой вредоносной системы составляет Python-скрипт, связанный с неформальной группировкой, именующей себя «SVF Team».
Интересной особенностью, согласно Securitylab, является то, что в качестве канала управления и связи используется мессенджер Discord, который часто используется детьми и подростками. Через него бот получает команды, а также отправляет информацию о заражённой системе.
Процесс установки SVF Botnet построен вокруг развёртывания виртуального окружения, в которое устанавливаются ключевые зависимости: библиотеки discord.py, requests, aiohttp и lxml. Затем с сервиса termbin скачивается основной файл main.py, после чего бот запускается с указанием определённой группы, например параметром «-s 5». Это позволяет управлять сразу несколькими заражёнными машинами в рамках одной команды.
После запуска бот авторизуется через токен Discord и связывается с управляющим каналом, откуда получает приказы. Он также передаёт информацию о себе, в том числе принадлежность к конкретной группе, через webhook. Такой подход позволяет операторам ботнета выстраивать гибкую архитектуру командования, разделяя свои ресурсы по функциональным сегментам.
Функциональность SVF сосредоточена на двух типах атак: HTTP-флуд (уровень L7) и UDP-флуд (уровень L4). При этом ботнет поддерживает широий выбор настроек: можно задавать количество потоков, интенсивность пакетов и уровень параллельности атак. Однако наиболее примечательной особенностью SVF является встроенная система проксификации: бот сам извлекает списки открытых прокси-серверов с GitHub и других сайтов, проверяет их работоспособность путём попытки авторизации на Google, и при атаках использует случайный прокси из своей базы. Это затрудняет отслеживание источника трафика и помогает обходить защитные механизмы.
Некоторые команды в арсенале ботнета ($load, $customhttp, $customudp) позволяют расширять функциональность, включая загрузку новых прокси, проведение кастомизированных атак и остановку активных действий. Также предусмотрены функции перезапуска бота, обработки сбоев и загрузки новых версий с определённого IP-адреса, что указывает на постепенное развитие инструмента и возможное усложнение его архитектуры в будущем.
Наблюдение за этим инцидентом подчёркивает, насколько уязвимыми остаются Linux-серверы с плохо защищённым SSH-доступом. Как только злоумышленники получают контроль над системой, она становится частью ботнета, использующего её ресурсы для атак или добычи криптовалют. Чтобы предотвратить подобные сценарии, системным администраторам рекомендуется усиливать аутентификацию — использовать длинные, уникальные пароли, регулярно их менять, устанавливать последние обновления и ограничивать доступ к SSH через файервол.
