Исследователи обнаружили в Азии новый ботнет Jaku

Исследователи обнаружили в Азии новый ботнет Jaku

Исследователи обнаружили в Азии новый ботнет Jaku

Специалисты компании Forcepoint сообщают, что в азиатских странах растет новый ботнет, получивший имя Jaku. Хотя порядка 73% зараженных находятся в Японии и Южной Корее, исследователи пишут, что суммарно Jaku уже атаковал пользователей из 143 стран мира.

Первые признаки образования нового ботнета исследователи Forcepoint заметили в сентябре 2015 года. Теперь, спустя полгода, эксперты отмечают, что Jaku демонстрирует значительный рост, особенно в сравнении с другими аналогичными угрозами. По данным компании, заражению уже подверглись более 19 000 машин.

Контроль над ботнетом осуществляется с разных управляющих серверов, расположенных в Сингапуре, Малайзии и Тайланде. Чтобы не привлекать к себе лишнего внимания и усложнить работу экспертам, операторы Jaku работают с тремя разными C&C механизмами, а также применяют обфускацию баз SQLite, которые хранят файлы конфигурации на клиентской стороне, пишет xakep.ru.

Jaku может применяться для осуществления DDoS-атак или рассылки спама, но также используется как средство для доставки сторонней малвари. Во время вторичного заражения, злоумышленники подключают к делу стеганографию, так как вредоносный код скрывается в файлах изображений.

Исследователи Forcepoint отмечают, что операторы ботнета в основном нацелены на крупные цели, однако это не значит, что от их рук не страдают простые пользователи. По данным компании, большой интерес для злоумышленников представляют международные общественные организации, машиностроительные компании, научные учреждения, а также ученые и правительственные служащие.

Преимущественно инфекция распространяется через различные варез-сайты, а также торрент-трекеры. Кроме того, исследователи отмечают, что Jaku определенно использует ту же инфраструктуру и те же методы работы, которые в 2014 году применяла группа Darkhotel, чью деятельность детально изучала «Лаборатория Касперского».

В России обкатывают новый DDoS-ботнет мощностью свыше 2,5 Тбит/с

Российский интернет столкнулся не с очередной волной DDoS, а с генеральной репетицией чего-то куда более серьезного. Специалисты StormWall сообщили о серии необычных атак, мощность одной из которых достигла 2,56 Тбит/с при интенсивности 1 млрд пакетов в секунду.

По мнению экспертов, за атаками стоят не случайные хакеры, а хорошо подготовленная команда, которая тестирует новый ботнет или инструменты для будущих масштабных операций.

Главная особенность кампании — атакующие не ограничиваются классическим UDP-флудом. Они одновременно имитируют легитимный пользовательский трафик, создают полноценные TCP-соединения и на лету меняют параметры пакетов, пытаясь подобрать комбинации, способные обойти защиту.

В StormWall отмечают, что злоумышленники быстро адаптируются к действиям защитников. После того как специалисты заблокировали их мониторинговые проверки, атакующие оперативно изменили тактику и продолжили атаки уже по новым сценариям.

Еще одна странность — отсутствие привычной цели. Хакеры не требуют выкуп и не заявляют политических мотивов. Под удар попадают самые разные организации: игровые проекты, хостинг-провайдеры, телеком-операторы и корпоративные сети.

По словам CEO и сооснователя StormWall Рамиля Хантимирова, происходящее больше напоминает стресс-тестирование инфраструктуры перед более серьезной кампанией.

Заодно изменилась и география ботнета. Если раньше основная активность фиксировалась из Бразилии и Индии, то теперь источники трафика обнаружены в России, США, Германии, Нидерландах, Ираке, Азербайджане, Казахстане, Мексике и ряде других стран. По оценкам аналитиков, ботнет может объединять самые разные устройства — от IoT-камер до серверов и сетевого оборудования.

В StormWall предупреждают, что нынешняя волна может быть лишь началом. Если злоумышленники доведут технологию имитации легитимного трафика до совершенства, отличить DDoS-атаку от обычных пользователей станет значительно сложнее, а эффективность традиционных методов фильтрации заметно снизится.

RSS: Новости на портале Anti-Malware.ru