Злоумышленники, стоящие за разработкой вредоносного инструмента DDoSia, разработали новую версию зловредного ПО, которая включает в себя обновлённый механизм получения списка целей для их “бомбардировки” нежелательными HTTP-запросами.
Обновленный вариант, написанный на языке ” data-html=”true” data-original-title=”Go” >Go, “реализует дополнительный механизм безопасности для сокрытия списка целей, который передается от C2-сервера хакеров прямо к пользователям”, – сообщила в техническом отчёте компания по кибербезопасности Sekoia.
DDoSia приписывается хакерской группе под названием NoName (057)16, предположительно имеющей связи с Россией и действующей в её интересах. Запущенный в 2022 году и являющийся преемником ботнета Bobik, инструмент DDoSia, согласно данным Avast, предназначен для организации распределенных атак типа “отказ в обслуживании” (DDoS) против целей, расположенных в разных частях света.
Литва, Польша, Италия, Чехия, Дания, Латвия, Франция, Великобритания и Швейцария стали странами, подвергшимися наибольшим атакам в период с 8 мая по 26 июня 2023 года. В общей сложности было затронуто 486 различных веб-сайтов.
На сегодняшний день обнаружены реализации DDoSia на основе Python и ” data-html=”true” data-original-title=”Golang” >Golang, что делает его кроссплатформенной программой, способной использоваться в системах Windows, Linux и macOS.
“DDoSia – это многопоточное приложение, которое производит атаки типа “отказ в обслуживании” против целевых сайтов путем многократной выдачи сетевых запросов”, – объяснилиспециалисты SentinelOne в анализе, опубликованном в январе 2023 года. “DDoSia выдает запросы в соответствии с инструкциями файла конфигурации, который вредоносная программа получает с C2-сервера при запуске”.
DDoSia распространяется с помощью полностью автоматизированного Telegram-бота, который позволяет отдельным лицам регистрироваться в краудсорсинговой инициативе, получая ZIP-архив, содержащий инструментарий для атаки, в обмен на криптовалютный платеж.
Что примечательно в последней версии инструментария, так это использование шифрования для маскировки списка целей, подлежащих атаке, что указывает на то, что инструмент активно поддерживается операторами.
“NoName057 (16) прилагает усилия, чтобы сделать своё вредоносное ПО совместимым с несколькими операционными системами, что почти наверняка отражает их намерение поразить как можно большее число жертв”, – сказали в Sekoia.