СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.07.2025
#Dev#ИБ#ИИ

Hpingbot 2025: новое поколение кроссплатформенных ботнетов на Go

Hpingbot 2025: новое поколение кроссплатформенных ботнетов на Go

Источник: nsfocusglobal.com

Новый ботнет Hpingbot: обзор архитектуры и тактики эксплуатации

В июне 2025 года исследовательская лаборатория NSFOCUS обнаружила новое семейство ботнетов — Hpingbot. Разработанный преимущественно на языке Go, этот кроссплатформенный ботнет поражает своей универсальностью и инновационным подходом в области киберугроз. Он способен работать на различных операционных системах — Windows и Linux/IoT, поддерживая множество процессорных архитектур, включая amd64, mips, arm и 80386.

Уникальная архитектура и методы работы

В условиях доступности исходного кода известных ботнетов и инструментов искусственного интеллекта, коммуникация среди злоумышленников стала проще, что привело к росту новых семейств вредоносного ПО. В этом контексте hpingbot выделяется своей уникальной архитектурой. В отличие от адаптаций Mirai и Gafgyt, он использует ряд инновационных подходов:

  • _Использование Pastebin_ для распределения полезной нагрузки;
  • _Интеграция инструмента hping3_ для проведения различных видов DDoS-атак;
  • Поддержка широкого спектра платформ и архитектур, позволяющая охватить разнообразные устройства;
  • Независимый модуль распространения через SSH с использованием слабых паролей.

Особенности операционного поведения

Интересно, что hpingbot демонстрирует тенденцию оставаться бездействующим большую часть времени и выполняет ограниченный набор команд для DDoS-атак. Основные цели при этом находятся в Германии, США и Турции. Особое внимание привлекает факт, что одним из первых IP-адресов для атаки стал адрес, связанный с инструментом мониторинга NetData с открытым исходным кодом. Такое явление свидетельствует о том, что тестирование DDoS-возможностей встроено непосредственно в рабочий процесс разработки ботнета.

Версия hpingbot для Windows отличается тем, что не использует напрямую hping3 для атак, однако демонстрирует высокую активность. Это позволяет предположить, что злоумышленники уделяют больше внимания загрузке и выполнению произвольных вредоносных компонентов, а не только DDoS-атакам.

Развитие функционала и новые компоненты

С середины июня 2025 года наблюдается заметное расширение функциональности hpingbot. Злоумышленники начали распространять дополнительный компонент, также разработанный на Go, предназначенный для DDoS-атак. Отличительными особенностями нового модуля являются:

  • Отсутствие интеграции с Pastebin и инструментом hping3;
  • Наличие отладочной информации, указывающей на стадию тестирования;
  • Реализация защиты от UDP и TCP flooding;
  • Возможность работы в качестве замены или дополнения к оригинальному ботнету.

Подобная двойственная функциональность подчеркивает роль hpingbot не только как инструмента DDoS-атак, но и посредника в более масштабных операциях, включая доставку APT-компонентов и программ-вымогателей.

Методы распространения и технические детали

Распространение hpingbot происходит главным образом через подбор слабых паролей SSH. Модуль распространения работает автономно от основного ботнета, что повышает безопасность и скрытность операций, позволяя злоумышленникам сохранять контроль без риска раскрытия ключевых деталей.

Все технические стратегии hpingbot тесно связаны с этапами платформы MITRE ATT&CK:

  • Использование Pastebin для хранения и распределения полезной нагрузки;
  • Эксплуатация системных служб для сохранения и запуска компонентов;
  • Исполнение задач с помощью shell-скриптов;
  • Модуль DDoS управляет hping3 посредством упрощённого текстового формата, обеспечивая гибкость конфигурации различных видов атак.

Выводы

И хотя первоочередное назначение hpingbot — проведение DDoS-атак, анализ архитектуры демонстрирует особое внимание разработчиков к возможностям выполнения произвольной полезной нагрузки. Особенность Windows-версии лишний раз подтверждает, что потенциал вредоносного ПО выходит далеко за рамки классических ударных атак, открывая перспективы для более сложных сценариев взлома и распространения вредоносного кода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: