Эволюция ботнета Gayfemboy: угроза масштабных DDoS-атак

Эволюция ботнета Gayfemboy: угроза масштабных DDoS-атак

Изображение: blog.xlab.qianxin.com

В последние месяцы укоренившийся в киберпространстве ботнет Gayfemboy продемонстрировал свою эволюцию, став серьезной угрозой для организаций и частных лиц. С момента своего захвата XLab в начале февраля 2024 года, ботнет значительно изменился и активно наращивает свою мощь за счет использования новых уязвимостей и тактик.

Эволюция и активность ботнета

Изначально созданный как производная от Mirai, Gayfemboy был улучшен разработчиками, которые начали интегрировать сложные механизмы:

  • Модификация онлайн-сообщений;
  • Эксперименты с оболочкой UPX;
  • Интеграция уязвимостей Nday;
  • Самостоятельное обнаружение уязвимостей 0day.

Расширение охвата и уязвимости

К ноябрю 2024 года Gayfemboy начал распространять образцы, используя следующие уязвимости:

  • Уязвимость 0day в промышленных маршрутизаторах Four-Faith (CVE-2024-12856);
  • Неизвестные уязвимости в маршрутизаторах Neterbit;
  • Устройства для умного дома Vimar.

По оценкам XLab, ботнет насчитывает более 40 онлайн-групп и более чем 15 000 ежедневно активных узлов. Что примечательно, Gayfemboy запустил DDoS-атаки на доменные имена, зарегистрированные XLab, в качестве ответной реакции на их действия.

DDoS-атаки и их последствия

DDoS-атаки, инициируемые Gayfemboy, стали настоящим кибероружием, которое может разрушительно воздействовать на сетевую инфраструктуру. Ботнет использовал более 20 уязвимостей и слабые пароли Telnet для своего распространения. Уникальные изменения, внедренные в код Gayfemboy, включали:

  • Использование уникального магического числа UPX «1wom»;
  • Скрытые функции pid;
  • Команды с открытым текстом.

В результате атак, которые длились от 10 до 30 секунд, поставщики облачных услуг, такие как VPS, часто блокировали трафик, что приводило к недоступности сервисов XLab более чем на 24 часа.

Критическая необходимость защиты

Учитывая, что ботнет ежедневно использовал около 15 000 активных IP-адресов, прежде всего из Китая, США, Ирана, России и Турции, защита от DDoS-атак становится более чем необходимостью. “DDoS-атаки являются универсальными, скрытыми и представляют серьезную угрозу для организаций и частных лиц,” — отмечают эксперты.

Комплексные стратегии защиты крайне важны для снижения риска таких атак и повышения общей устойчивости киберсистем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: