Популярнее, чем Google. Домен хакерского ботнета обогнал мирового гиганта в рейтингах Cloudflare
NewsMakerМиллионы пользователей даже не догадывались, чьи именно приказы выполняет их техника.
С осени прошлого года команда Black Lotus Labs из Lumen Technologies заблокировала более 550 управляющих серверов, связанных с ботнетами AISURU и Kimwolf . Эти вредоносные сети продолжают оставаться одними из крупнейших в своей категории, управляя заражёнными устройствами для проведения DDoS-атак и маршрутизации трафика через сервисы жилых прокси.
Особое внимание к Kimwolf привлекли специалисты из QiAnXin, подробно изучившие его архитектуру. По их данным , вредонос распространяется в основном через несертифицированные Android-приставки, превращая их в прокси-узлы с помощью внедряемого SDK под названием ByteConnect. Распространение ведётся как напрямую, так и через сомнительные приложения, установленные на устройствах по умолчанию. В результате заражения более 2 млн устройств с открытым ADB-интерфейсом становятся частью сети, используемой для обхода фильтрации трафика и дальнейшего заражения других устройств.
Позже стало известно, что создатели Kimwolf не только арендовали доступ к заражённым устройствам, но и пытались продавать прокси-трафик за фиксированную плату. В сентябре команда Black Lotus Labs зафиксировала активность, исходящую с канадских IP-адресов, подключающихся через SSH к управляющим серверам ботнета. Один из таких доменов успел подняться выше Google в списке самых популярных доменов Cloudflare в ноябре, прежде чем был удалён из рейтинга.
В октябре был обнаружен ещё один управляющий сервер, размещённый на IP-адресе хостинг-провайдера из Юты — Resi Rack LLC. Компания подаёт себя как поставщика игровых серверов, однако выяснилось, что её соучредители участвовали в продаже доступа к прокси через Discord-сервер под названием resi[.]to. Этот канал коммуникации впоследствии исчез, но именно через него велись активные продажи заражённых узлов.
С осени прошлого года команда Black Lotus Labs из Lumen Technologies заблокировала более 550 управляющих серверов, связанных с ботнетами AISURU и Kimwolf . Эти вредоносные сети продолжают оставаться одними из крупнейших в своей категории, управляя заражёнными устройствами для проведения DDoS-атак и маршрутизации трафика через сервисы жилых прокси.
Особое внимание к Kimwolf привлекли специалисты из QiAnXin, подробно изучившие его архитектуру. По их данным , вредонос распространяется в основном через несертифицированные Android-приставки, превращая их в прокси-узлы с помощью внедряемого SDK под названием ByteConnect. Распространение ведётся как напрямую, так и через сомнительные приложения, установленные на устройствах по умолчанию. В результате заражения более 2 млн устройств с открытым ADB-интерфейсом становятся частью сети, используемой для обхода фильтрации трафика и дальнейшего заражения других устройств.
Позже стало известно, что создатели Kimwolf не только арендовали доступ к заражённым устройствам, но и пытались продавать прокси-трафик за фиксированную плату. В сентябре команда Black Lotus Labs зафиксировала активность, исходящую с канадских IP-адресов, подключающихся через SSH к управляющим серверам ботнета. Один из таких доменов успел подняться выше Google в списке самых популярных доменов Cloudflare в ноябре, прежде чем был удалён из рейтинга.
В октябре был обнаружен ещё один управляющий сервер, размещённый на IP-адресе хостинг-провайдера из Юты — Resi Rack LLC. Компания подаёт себя как поставщика игровых серверов, однако выяснилось, что её соучредители участвовали в продаже доступа к прокси через Discord-сервер под названием resi[.]to. Этот канал коммуникации впоследствии исчез, но именно через него велись активные продажи заражённых узлов.