СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.09.2025
#ИБ#Инфра

AISURU: ботнет 11,5 Тбит/с, GRE‑C2, эксплойты и residential proxies

AISURU: ботнет 11,5 Тбитс, GREC2, эксплойты и residential proxies

Источник: blog.xlab.qianxin.com

Ботнет AISURU стал одним из заметных игроков на рынке DDoS-атак, зафиксировав пиковую пропускную способность в 11,5 Тбит/с в 2025 году — новый рекорд для аналогичных инцидентов. По имеющейся информации, за операциями стоит группа, известная как банда AISURU, в составе участников под кодовыми именами Сноу, Том и Форки, сотрудничающих с 2022 года.

Источники и степень достоверности

Информацию о работе ботнета предоставили анонимные источники. Хотя часть утверждений трудно проверить напрямую, основные выводы были подтверждены аналитиками безопасности с помощью передовых методов мониторинга и телеметрии. В материалах расследования отмечается, что ключевые технические индикаторы совпадают с наблюдаемыми сетевыми событиями и активностью C2.

«Несмотря на ограниченную прозрачность источников, корреляция данных сетевого трафика и артефактов вредоносного ПО дала аналитикам достаточную уверенность в правдоподобности выявленных связей», — отмечают эксперты.

Технические особенности атак и инфраструктуры

Анализ показал, что банда AISURU использовала разнообразные векторы атак и вредоносные скрипты. Среди ключевых компонентов инфраструктуры и методов — домен загрузчика updatetoto.tw, туннель GRE, выступавший в качестве сервера командования и контроля (C2), а также использование эксплойтов как для известных уязвимостей, так и для zero-day.

  • Пиковая DDoS-атака с трафиком 11,5 Тбит/с была направлена на IP-адрес 185.211.78.117.
  • GRE-туннель, сконфигурированный как C2, фиксировался в апреле 2025 года.
  • Распространение вредоносного ПО происходило через сетевые уязвимости, в том числе нацеленные на устройства Cambium Networks cnPilot.

Изменения в коде и устойчивость

Технический анализ образцов вредоносного ПО показал серьёзные обновления:

  • Стандартные алгоритмы шифрования были заменены модифицированными версиями RC4 и дополнены механизмами проверки HMAC-SHA256, что усложняет анализ и маскировку трафика C2.
  • Добавлены механизмы отключения функции Linux OOM Killer, позволяющие вредоносному коду поддерживать более долгое время выполнения при ограниченных объёмах памяти.

Широкий охват и отсутствие чёткой специализации

Статистика атак свидетельствует, что активность AISURU охватывает несколько отраслей промышленности в разных странах, включая Соединённые Штаты и Германию. Это указывает на отсутствие строго определённых целей — ботнет действует с широким географическим и отраслевым прицелом.

Эволюция: от DDoS к рынку анонимных услуг

Помимо классических DDoS-операций, наблюдается изменение в бизнес-модели AISURU: инфраструктура адаптируется для предоставления анонимных услуг. По данным отчёта, ботнет уже применяется как сеть residential proxies, что расширяет спектр его использования для различных киберпреступных операций.

Такой сдвиг отражает более широкую тенденцию в экосистеме DDoS-угроз, где операторы ботнетов конвертируют сломанные устройства в ресурсы для продажи или аренды, а не ограничиваются только разрушительными атаками.

Что это значит для организаций и операторов

Растущая мощность и диверсификация возможностей AISURU требуют от организаций пересмотра подходов к защите:

  • Регулярный мониторинг сетевого трафика и аномалий; своевременное выявление необычных GRE-соединений и исходящего трафика к подозрительным C2.
  • Патчинг сетевых устройств и маршрутизаторов, включая устройства Cambium Networks cnPilot, и мониторинг публикаций о zero-day-уязвимостях.
  • Анализ используемого шифрования трафика и сигнатур для обнаружения модифицированных алгоритмов типа RC4 + HMAC-SHA256.
  • Оценка риска использования украденных или скомпрометированных residential proxies и контроль доступа к прокси-ресурсам.

Вывод

AISURU демонстрирует, как современные ботнеты эволюционируют из инструментов для DDoS в многофункциональные инфраструктуры преступного рынка. Комбинация высокой пропускной способности (11,5 Тбит/с), эксплуатации как известных уязвимостей, так и zero-day, а также трансформация в сеть residential proxies делают группу значимой угрозой для организаций по всему миру. При этом аналитики подчёркивают важность многослойной защиты и оперативного обмена информацией между секторами для противодействия подобным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: