Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

HTTP-бомбардировка и шифрование списка целей — зловредный инструментарий DDoSia обновился до новой версии

05/07/23

hack141-4

Злоумышленники, стоящие за разработкой вредоносного инструмента DDoSia, разработали новую версию зловредного ПО, которая включает в себя обновлённый механизм получения списка целей для их «бомбардировки» нежелательными HTTP-запросами.

Обновленный вариант, написанный на языке Go, «реализует дополнительный механизм безопасности для сокрытия списка целей, который передается от C2-сервера хакеров прямо к пользователям», — сообщила в техническом отчёте компания по кибербезопасности Sekoia.

DDoSia приписывается хакерской группе под названием NoName (057)16, предположительно имеющей связи с Россией и действующей в её интересах. Запущенный в 2022 году и являющийся преемником ботнета Bobik, инструмент DDoSia, согласно данным Avast, предназначен для организации распределенных атак типа «отказ в обслуживании» (DDoS) против целей, расположенных в разных частях света. Об этом пишет Securitylab.

Литва, Польша, Италия, Чехия, Дания, Латвия, Франция, Великобритания и Швейцария стали странами, подвергшимися наибольшим атакам в период с 8 мая по 26 июня 2023 года. В общей сложности было затронуто 486 различных веб-сайтов.

На сегодняшний день обнаружены реализации DDoSia на основе Python и Golang, что делает его кроссплатформенной программой, способной использоваться в системах Windows, Linux и macOS.

«DDoSia — это многопоточное приложение, которое производит атаки типа "отказ в обслуживании" против целевых сайтов путем многократной выдачи сетевых запросов» — объяснили специалисты SentinelOne в анализе, опубликованном в январе 2023 года. «DDoSia выдает запросы в соответствии с инструкциями файла конфигурации, который вредоносная программа получает с C2-сервера при запуске».

DDoSia распространяется с помощью полностью автоматизированного Telegram-бота, который позволяет отдельным лицам регистрироваться в краудсорсинговой инициативе, получая ZIP-архив, содержащий инструментарий для атаки, в обмен на криптовалютный платеж.

Что примечательно в последней версии инструментария, так это использование шифрования для маскировки списка целей, подлежащих атаке, что затрудняет анализ экспертам по кибербезопасности, а также указывает на то, что инструмент активно поддерживается операторами.

«NoName057 (16) прилагает усилия, чтобы сделать своё вредоносное ПО совместимым с несколькими операционными системами, что почти наверняка отражает их намерение поразить как можно большее число жертв», — сказали в Sekoia.

Темы:ПреступленияDDoS-атакиHTTPSEKOIA
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...