Новости Ботнет Kimwolf заразил 1,8 млн устройств на базе Android

mrpinkdm

Модератор
Проверенный продавец
Продавец
Dublikat Friends
Подтвержденный
Регистрация
21.09.17
Сообщения
452
Реакции
110
Продаж
11
Telegram
Специалисты из QiAnXin XLab обнаружили новый DDoS-ботнет Kimwolf, который скомпрометировал как минимум 1,8 млн Android-устройств по всему миру.

В основном пострадали «умные» телевизоры, ТВ-приставки и планшеты. Отмечается, что эта кампания может быть связана с ботнетом Aisuru, и всего за три дня в ноябре Kimwolf получил 1,7 млрд команд для атак.

По данным экспертов, с 19 по 22 ноября текущего года один из управляющих серверов Kimwolf (14emeliaterracewestroxburyma02132[.]su) возглавил топ-100 доменов Cloudflare по активности, опередив даже Google.

В начале декабря исследователям удалось перехватить контроль над одним C2-доменов ботнета, и выяснилось, что количество активных IP-адресов ботов составляет около 1,83 млн. При этом география заражений Kimwolf охватывает весь мир: больше всего инфицированных устройств было найдено в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах.

Хотя точный механизм распространения вредоносного ПО в настоящее время неясен, среди зараженных устройств присутствует множество популярных моделей ТВ-приставок, включая TV BOX, SuperBOX, X96Q, SmartTV и MX10.

Также в отчете отмечается, что Kimwolf может быть связан с ботнетом Aisuru, который стоит за рекордными DDoS-атаками этого года. Аналитики полагают, что оба вредоноса были созданы одной хакерской группировкой. Дело в том, что с сентября по ноябрь оба ботнета распространялись через одинаковые скрипты заражения и сосуществовали на одних устройствах.

Кроме того, APK-файлы вредоносов, найденные в VirusTotal, были подписаны одними сертификатами (включая John Dinglebert Dinglenut VIII VanSack Smith), а 8 декабря эксперты обнаружили активный сервер-загрузчик (93.95.112[.]59), который раздавал APK обоих ботнетов.

Предполагается, что операторы Kimwolf на ранних этапах использовали код Aisuru, взяв его за основу, а затем развили новый ботнет как отдельный проект, чтобы эффективнее уклоняться от обнаружения.

В QiAnXin XLab считают, что некоторые атаки, ранее приписываемые Aisuru, на самом деле могли исходить от Kimwolf. Также возможно, что группировки работали совместно.

Исследователи пишут, что ботнет быстро адаптируется. К примеру, в декабре управляющие серверы малвари были выведены из строя неизвестными лицами как минимум трижды. Но после этого операторы вредоноса перешли на использование Ethereum Name Service (ENS), и последние версии малвари от 12 декабря используют технику EtherHiding: реальный IP-адрес командного сервера извлекается из смарт-контракта через ENS-домен pawsatyou[.]eth. Так, из поля транзакции берется IPv6-адрес, последние четыре байта которого обрабатываются XOR с ключом 0x93141715.

Напомним, что впервые атаки EtherHiding были описаны специалистами Guardio Labs еще в 2023 году, когда исследователи заметили, что злоумышленники скрывают вредоносный код в смарт-контрактах Binance Smart Chain (BSC).

Kimwolf собран с использованием Android NDK и может осуществлять не только DDoS-атаки, цели которых в основном расположены в США, Китае, Франции, Германии и Канаде. Также малварь может использовать зараженные устройства в качестве прокси, открывать реверс-шеллы и управлять файлами на зараженных девайсах.

При этом анализ показал, что более 96% команд, передаваемых ботнету, связаны именно с использованием зараженных узлов в качестве прокси. Атакующие эксплуатируют пропускную способность скомпрометированных девайсов ради получения финансовой выгоды. Так, на устройства доставляется модуль Command Client на Rust, формирующий прокси-сеть, и SDK ByteConnect — решение для монетизации трафика.

«Гигантские ботнеты берут свое начало в 2016 году, когда появился Mirai, и их целями были IoT-устройства вроде роутеров и камер, — комментируют специалисты. — Но в последние годы появились многомиллионные ботнеты, такие как Badbox, Bigpanzi, Vo1d, а теперь — Kimwolf. И некоторые злоумышленники стали обращать внимание на различные “умные” телевизоры и ТВ-приставки».
 
Сверху Снизу