HTTP-бомбардировка и шифрование списка целей — зловредный инструментарий DDoSia обновился до новой версии

Злоумышленники, стоящие за разработкой вредоносного инструмента DDoSia, разработали новую версию зловредного ПО, которая включает в себя обновлённый механизм получения списка целей для их «бомбардировки» нежелательными HTTP-запросами.

Обновленный вариант, написанный на языке Go , «реализует дополнительный механизм безопасности для сокрытия списка целей, который передается от C2-сервера хакеров прямо к пользователям», — сообщила в техническом отчёте компания по кибербезопасности Sekoia .

DDoSia приписывается хакерской группе под названием NoName (057)16, предположительно имеющей связи с Россией и действующей в её интересах. Запущенный в 2022 году и являющийся преемником ботнета Bobik , инструмент DDoSia, согласно данным Avast, предназначен для организации распределенных атак типа «отказ в обслуживании» ( DDoS ) против целей, расположенных в разных частях света.

Литва, Польша, Италия, Чехия, Дания, Латвия, Франция, Великобритания и Швейцария стали странами, подвергшимися наибольшим атакам в период с 8 мая по 26 июня 2023 года. В общей сложности было затронуто 486 различных веб-сайтов.

На сегодняшний день обнаружены реализации DDoSia на основе Python и Golang , что делает его кроссплатформенной программой, способной использоваться в системах Windows , Linux и macOS .

«DDoSia — это многопоточное приложение, которое производит атаки типа "отказ в обслуживании" против целевых сайтов путем многократной выдачи сетевых запросов», — объяснили специалисты SentinelOne в анализе, опубликованном в январе 2023 года. «DDoSia выдает запросы в соответствии с инструкциями файла конфигурации, который вредоносная программа получает с C2-сервера при запуске».

DDoSia распространяется с помощью полностью автоматизированного Telegram -бота, который позволяет отдельным лицам регистрироваться в краудсорсинговой инициативе, получая ZIP-архив, содержащий инструментарий для атаки, в обмен на криптовалютный платеж.

Что примечательно в последней версии инструментария, так это использование шифрования для маскировки списка целей, подлежащих атаке, что затрудняет анализ экспертам по кибербезопасности, а также указывает на то, что инструмент активно поддерживается операторами.

«NoName057 (16) прилагает усилия, чтобы сделать своё вредоносное ПО совместимым с несколькими операционными системами, что почти наверняка отражает их намерение поразить как можно большее число жертв», — сказали в Sekoia.