Инструменты для проведения DDoS-атак набирают популярность

Инструменты для проведения DDoS-атак набирают популярность

Prolexic опубликовала информационный бюллетень, посвященный разбору itsoknoproblembro ― тулкита для проведения DDoS-атак, взятого злоумышленниками на вооружение в минувшем году. Документ содержит результаты анализа modus operandi и отдельных php-скриптов, входящих в этот комплект, топологии ботнета, построенного на его основе, а также рекомендации по обнаружению данной угрозы и предотвращению заражений.

Как мы уже писали, itsoknoproblembro активно участвовал в мощных осенних DDoS-атаках на американские банки, которые продолжились в декабре. По данным Prolexic, пиковая мощность этих атак составила 70 Гбит/с и свыше 30 млн. пакетов/с. Первые инциденты с использованием itsoknoproblembro эксперты зафиксировали год назад. По словам экспертов, эти DDoS-кампании, направленные против хостинг-провайдеров и представителей энергетической промышленности, были достаточно скромными. Примерно тогда же этот весьма опасный инструмент объявился в России.

Как показали результаты анализа, itsoknoproblembro позволяет проводить параллельные разноплановые DDoS-атаки против нескольких мишеней. Он поддерживает такие техники атак, как POST, GET, TCP и UDP flood, UDP flood,
с использованием прокси-серверов и без таковых. Атаки типа HTTP flood могут быть комбинированными (чередование GET и POST запросов), а также с использованием защищенных (https-) соединений. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков, используя уникальную двухступенчатую систему командного управления. Получив команду на атаку, он многократно ее повторяет, используя штатную программу командной строки cURL на зараженной машине, пишет securelist.com.

Стремясь обеспечить большую пропускную способность при небольшом количестве зараженных машин, злоумышленники построили многотысячный ботнет на взломанных веб-серверах. Они внедрили вредоносные скрипты, используя известные уязвимости в системах управления сайтами, таких как WordPress, Joomla, AWstats, Plesk, cPanel, phpMyFAQ и проч. По оценке Prolexic, наиболее часто с этой целью используются бреши в шаблоне Bluestork (Joomla) и плагине TimThumb (WordPress). В интернете функционирует большое количество сайтов, использующих устаревшие версии CMS-продуктов, и случаи массового взлома ресурсов через эксплуатируемую уязвимость нередки.

По свидетельству экспертов, ботнет, основанный на itsoknoproblembro, многоярусный и не имеет стандартного C&C интерфейса. После загрузки на ботнет общего списка инфицированных узлов (Prolexic называет их bRobot'ы) активизируются скрипты, подающие команду на проведение атаки. На bRobot'ы устанавливаются разные комбинации файлов из общего набора, ботоводы имеют к ним доступ, проверяют статус бота и инициируют DDoS-атаки.

Все бот-серверы условно делятся на контроллеры и непосредственных исполнителей атаки: первые отсылают команды (IP-адрес мишени, продолжительность атаки, размер пакетов), адресованные конкретным скриптам на узлах второго уровня. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков: получив команду с «контроллера», он многократно ее повторяет, пересылая самому себе через GET запросы. Кроме этого, «исполнители» и «контроллеры» ведут активный «одноранговый» обмен, в результате которого на каждом уровне может произойти смена состава. Еще один ярус ботнета составляют открытые http-прокси, используемые атакующими для сокрытия источников DDoS трафика.

По прогнозам Prolexic, популярность itsoknoproblembro у инициаторов DDoS кампаний продолжит расти, посему важно начать активную борьбу с этой угрозой. Как показывает статистика, время жизни bRobot в настоящее время превышает полгода. Персистентность инфекции и трудоемкость очистки зависят от числа и разнообразия вредоносных файлов, а также от количества бэкдоров, установленных злоумышленниками. Использование устаревших, уязвимых CMS-продуктов ― глобальная проблема, и эксперты призывают разработчиков упростить процедуру их обновления, чтобы после персональной настройки пользователям не приходилось менять конфигурацию при каждом апдейте. Информационный бюллетень с профилем itsoknoproblembro доступен на сайте Prolexic (требуется регистрация).

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru