Раскрыта сеть Nosviak: новые угрозы DDoS и прокси-сервисы
Изображение: censys.com
Недавно компания Censys сделала важное открытие в области кибербезопасности, обнаружив сеть систем управления ботнетами, работающих на модифицированной версии Nosviak. Эта сеть широко использует неизвестный командно-контрольный сервис, который в последние месяцы стал набирать популярность.
Масштабная операция с DDoS-атаками
Системы, управляемые Nosviak, совместно используют ресурсы, такие как:
- SSH-ключи
- Домены
- Фирменный стиль сервиса
Это говорит о существовании более масштабной операции, направленной на продажу услуг атак типа «отказ в обслуживании» (DDoS) и прокси-сервисов заинтересованным клиентам.
Обзор Nosviak и его возможностей
Nosviak является системой управления ботнетом, поддерживающей ряд коммуникационных протоколов, используемых в известных вредоносных программах, таких как Mirai и Qbot. Несмотря на свои возможности, до недавнего времени Nosviak не привлекал особого внимания в научных кругах.
Методология исследования
Обнаружение было осуществлено с помощью платформы ThreatFox, предназначенной для обмена информацией о компрометации, связанной с вредоносным ПО. Первоначальная информация о Nosviak была ограниченной и разбросанной по малоизвестным уголкам Интернета. Некоторые репозитории на GitHub содержали полный исходный код Nosviak2, а также пользовательские конфигурационные файлы.
Анализ инфраструктуры ботнета
Дальнейший анализ, проведенный Censys, выявил интерфейс ботнета с разнообразными псевдонимами и витринами, предлагающими:
- Услуги DDoS-атак
- Прокси-сервера, маскирующиеся под инструменты «стресс-тестирования»
Эти витрины используют идентичные HTML-шаблоны, но имеют уникальный брендинг, названия и структуру ценообразования.
Географическое распределение и хосты
Сеть состоит из более чем 150 хостов, расположенных в двадцати странах и автономных системах, специализирующихся на DDoS-атаках и прокси-сервисах. Некоторые из них потенциально функционируют как оперативные ретрансляторы. К примеру, такие магазины, как Moonrise C2, Rotate C2, Monolith C2, Runtz C2 и Cindy Network, предлагают похожие услуги под разными названиями.
Ключевые индикаторы и дополнительные находки
Хотя прямой доступ к физическим компьютерам был недоступен, ключевые индикаторы указывают на то, что эти витрины работают на Nosviak. Конфигурация по умолчанию для Nosviak связывает SSH с портом 1337, что является общим для идентифицированных служб, активно прослушивающих этот порт.
Используя SSH-ключ Nosviak по умолчанию, аналитики обнаружили ссылки на соответствующую инфраструктуру. Например, Runtz C2 был идентифицирован с помощью общего HTML-элемента и отпечатка SSH на порту 1337.
Заключение
Выявленная инфраструктура распределена по различным географическим регионам и в основном размещена на OVH и Aeza, с акцентом на сбои в работе игровых серверов и служб чата. Это открытие подчеркивает необходимость более жесткого контроля и мониторинга в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
