Исследователи из SecNiche Security Labs обнаружили неизвестный ранее ботнет Gucci, использующий IoT-устройства для проведения DDoS-атак. По словам экспертов, создатели зловреда, на основе которого построена бот-сеть, продолжают его доработку.

Способности IoT-бота Gucci

Новая вредоносная программа может вести как целевые, так и широкие атаки, поражая устройства на базе таких архитектур, как ARM, x86, MIPS, PPC, M68K. Каждый бот поддерживает связь с управляющим сервером на TCP-порту 5555 (Telnet).

Злоумышленники обфусцировали код, чтобы затруднить ИБ-специалистам исследование Gucci. Кроме того, они очистили программу от отладочных символов (debug symbols), обеспечив ей в результате небольшой вес.

Расследование активности Gucci

Эксперты отследили источник заражения до сервера в Нидерландах. Когда они попытались соединиться с командным хостом, тот затребовал учетные данные. Специалисты смогли взломать защиту и получили доступ к панели управления. Вскоре после этого операторы зловреда обнаружили вторжение, отключили коммуникационную Telnet-службу и попытались стереть следы своей активности.

Это не помешало исследователям узнать больше об особенностях Gucci. Ботнет может вести различные DDoS-атаки, включая UDP flood, SYN flood и другие. В настоящий момент Gucci ориентирован на цели в европейских странах.

Активность ботнетов набирает темпы

Gucci пополнил немалый список зловредных ботов, которые в последние месяцы отметились в киберкампаниях.

В сентябре эксперты обнаружили, что криптоджекер Smominru, известный с 2017 года, заражает по несколько тысяч устройств в день, а Emotet возобновил атаки после трехмесячного перерыва. Еще раньше стало известно об очередном обновлении Echobot, после которого количество используемых им эксплойтов превысило 60.

В некоторых случаях правоохранительным органам удается привлечь к ответственности операторов таких зловредов. Так, в марте в Нидерландах состоялся суд над 20-летним киберпреступником, который использовал ботнет на базе Mirai, чтобы вести DDoS-атаки. Свои действия он объяснил нехваткой карманных денег.

Категории: DoS-атаки, Аналитика, Вредоносные программы