Menu dostępności

botnet Gayfemboy

Wariant botnetu Mirai wykorzystuje podatność w routerach do przeprowadzania ataków DDoS

Wielu hakerów amatorów marzących o szybkim wzbogaceniu rzuca się na czarny rynek DDoS. Uzbrojeni w kod źródłowy Mirai wyobrażają sobie, że mogą zarobić fortunę na wynajmowaniu sieci botnet. Rzeczywistość jest jednak brutalna – takie osoby szybko się rozczarowują i rezygnują ze swoich ambitnych planów, pozostawiając po sobie serię działających zaledwie kilka dni wariantów najpopularniejszego botnetu na świecie. Jednak nasz dzisiejszy przykład – botnet Gayfemboy – jest wyjątkiem.

Gayfemboy został odkryty przez zespół XLab na początku lutego 2024 r. i pozostaje aktywny do dziś. Jego wczesne wersje nie wyróżniały się niczym szczególnym – były to po prostu pochodne Mirai zapakowane w UPX, niewykazujące żadnej innowacyjności. Stojący za botnetem programiści wyraźnie chcieli się jednak wyróżnić i wejść na wyższy poziom. Zaczęli intensywnie rozwijać swoje dzieło, między innymi poprzez modyfikowanie pakietów rejestracyjnych, eksperymentowanie z polimorficznym pakowaniem UPX, aktywną integrację luk N-day, a nawet odkrywanie exploitów 0-day, a wszystko oczywiście po to, by zwiększyć skalę infekcji Gayfemboyem.

Na początku listopada 2024 r. Gayfemboy wyewoluował, wykorzystując podatność 0-day w przemysłowych routerach Four-Faith i nieznane luki w routerach Neterbit oraz inteligentnych urządzeniach domowych Vimar do rozprzestrzeniania ładunków. To właśnie skłoniło XLab do przeprowadzenia kompleksowej analizy nowego tworu w cyberprzestrzeni.

Dowiedzieliśmy się, że aktualnie botnet utrzymuje około 15 000 aktywnych adresów IP dziennie, a infekcje są rozproszone głównie w Chinach, Iranie, Rosji, Turcji i Stanach Zjednoczonych.

Poniżej widzimy wykres aktywności oraz mapę dystrybucji botnetu.

Źródło: blog.xlab.qianxin.com

Wiadomo, że złośliwe oprogramowanie jest aktywne prawie od samego początku 2024 roku, wykorzystując arsenał ponad 20 znanych luk w zabezpieczeniach i słabe poświadczenia Telnet do początkowego dostępu. Botnet uzyskał swoją nazwę w nawiązaniu do obraźliwego terminu występującego w jego kodzie źródłowym.

Podatność w routerach Four-Faith, o której mowa, to CVE-2024-12856 (wynik CVSS: 7,2), odnosząca się do błędu wstrzykiwania poleceń systemu operacyjnego. Dotyczy modeli routerów F3x24 i F3x36 i może być z łatwością wykorzystana, szczególnie przez niezmienione domyślne poświadczenia.

Botnet korzysta też z szeregu innych, bardziej powszechnych podatności, w celu rozszerzenia swojego zasięgu. Są to na przykład: CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017-5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 i CVE-2024-8957.

Celem botnetu jest oczywiście zarobek na wynajęciach jego infrastruktury do przeprowadzania ataków DDoS na wybrane przez zamawiających cele. Ataki DDoS wykorzystujące botnet są wymierzone w setki różnych podmiotów dziennie, a aktywność osiągnęła nowy szczyt pod koniec października 2024 r. Ataki, trwające od 10 do 30 sekund, generują ruch o przepustowości około 100 Gb/s.

Poniżej trend liczby pojawiających się ataków oraz ich geograficzna dystrybucja:

Źródło: blog.xlab.qianxin.com

Analiza techniczna XLab pojawiła się kilka tygodni po tym, jak Juniper Networks ostrzegł, że produkty Session Smart Router (SSR) z domyślnymi hasłami są celem złośliwych podmiotów. Firma Akamai ujawniła również infekcje złośliwym oprogramowaniem Mirai, wykorzystujące podatność zdalnego wykonywania kodu w rejestratorach DVR DigiEver.

DDoS stał się jedną z najczęściej wybieranych i najbardziej destrukcyjnych form cyberataków. Jego modele działania są zróżnicowane, ścieżki ataku wysoce ukryte, a sam botnet może wykorzystywać stale rozwijające się strategie i techniki, aby przeprowadzać precyzyjne ataki na różne branże i systemy. Stwarza to poważne zagrożenie dla przedsiębiorstw, organizacji rządowych i indywidualnych użytkowników.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...