Ботнет JackSkid использует блокчейн-сервисы для управления атаками и объединяет техники известных вредоносных семейств

Обнаруженный образец был загружен на платформу Virus Total ещё в феврале, что позволяет предположить, что его активность началась как минимум за месяц до обнаружения. Домен сервера управления www[.]sendtuna[.]com указывает на причастность к ботнету под названием JackSkid. Этот ботнет уже подробно описан в отчётах Nokia Deepfield Emergency Response Team (ERT) и Comcast Threat Research Lab (CTRL). В коде вредоноса также зашифрованы строки с другими доменами, например www[.]boatdealers[.]su и www[.]gokart[.]su. Однако, по данным исследователей, эти адреса не используются для реального взаимодействия с командными серверами. Ранее сообщалось, что несколько доменов ботнетов, включая JackSkid, уже изъяты, а у двух подозреваемых прошли обыски. Пока неясно, связаны ли эти люди именно с JackSkid.

Код расшифровки строк в мартовском образце отличается от того, что применялся в AISURU, но в итоге используется идентичный криптографический алгоритм. В исследовании NICT (Национального института информационно-коммуникационных технологий Японии) отмечается, что достаточно заменить ключ RC4 с шестнадцатеричного значения deadbeefcafebabee0a4cbd6badc0de5 на строку PJbiNbbeasddDfsc, и тот же скрипт на Python сможет расшифровать строки из AISURU. Это свидетельствует о том, что разработчики либо заимствовали код, либо используют общую базу исходников.

В апреле вредонос временно применял для обфускации строку qE6MGAbI, которая ранее встречалась в ботнете MooBot. Тогда алгоритм был проще. Однако уже в новом апрельском образце механизм изменился: начальная инициализация использует ту же строку, но дальнейшие преобразования отличаются от AISURU. Кроме того, консольный вывод об успешном запуске сменился с фразы "here we are" на "hail china mainland". Оба выражения ранее фиксировались в других ботнетах. К маю вредонос перешёл на ещё один вариант RC4-алгоритма.

Главное новшество - использование блокчейн-имён для поиска серверов управления. В апреле вредонос начал обращаться к ENS, причём домены отличались от тех, что описывали Nokia и Comcast. В мае добавилась поддержка SNS. Причиной могла стать нестабильность некоторых RPC-эндпоинтов для Ethereum. Вредонос не подключается напрямую к пиринговой сети блокчейна, а использует сторонние сервисы-посредники, такие как eth.llamarpc.com или sdk-proxy.sns.id. Они общедоступны и не связаны со злоумышленниками. Для разрешения имён применяются текстовые записи. В случае ENS используется домен ukranianhorseriding.eth, а в текстовой записи по ключу ipv6 (в новых версиях - network) хранятся IPv6-адреса. Реальный сервер управления имеет IPv4-адрес, который извлекается декодированием части IPv6. Метод декодирования меняется в разных версиях. SNS применяется только если все ENS-эндпоинты не отвечают, поэтому в последних сборках, где зарегистрировано много резервных адресов Ethereum, Solana-резолвер почти не используется.

После внедрения блокчейн-резолвера наблюдался временный возврат к обычной системе DNS: тогда использовался домен node.androiddebugbridge.su. По всей видимости, так разработчики обходили проблемы с нестабильными RPC-серверами. В новых версиях сканер Telnet, который собирал информацию об уязвимых устройствах, удалён.

Сканер ботнета подбирает учётные данные для портов 23 и 2323. Для управления массовыми подключениями используется структура scanner_connection, размером 0x134 байта (308 байт). Такая же структура применялась в ботнете MountBot, что подтвердилось при наложении: поля и вложенные данные об аутентификации совпали. После успешного входа через Telnet вредонос отправляет IP-адрес и учётные данные на отчётный сервер.

Активность DDoS-атак остаётся высокой. В таблице команд за неделю до 18 мая зафиксировано более пяти тысяч команд разных типов: UDP-флуд строковыми данными (1281 команда), UDP-флуд одиночным байтом (1971), SYN-флуд (78), TCP-стоп (958) и другие. Некоторые идентификаторы векторов не определены. Среди атакуемых портов лидируют стандартные порты игровых серверов, что указывает на использование ботнета для кибератак на игровую индустрию. Географически большая часть атак направлена на Китай, затем на Бразилию. Атаки на Японию составляют около 0,3%, но среди целей, вероятно, есть серверы, арендованные китайскими пользователями. Большинство команд задают длительность атаки 60 секунд, поэтому ботнет может вести непрерывные атаки почти половину суток.

Анализ образцов показал, что JackSkid вобрал в себя черты сразу нескольких известных ботнетов: одинаковый криптоалгоритм с AISURU, консольные строки из Fodcha и hailBot, сиды инициализации из MooBot, структуру сканера из MountBot. Поскольку точное копирование алгоритмов и структур без доступа к исходному коду маловероятно, можно предположить, что все эти ботнеты разрабатываются одной группой или с использованием общей кодовой базы. Тенденция к применению блокчейн-резолверов усложняет обнаружение и блокировку серверов управления. В качестве меры защиты можно рекомендовать мониторинг обращений к RPC-эндпоинтам криптовалютных сетей, хотя это не универсальное решение. В изолированных сегментах сети, где такие обращения заведомо не нужны, блокировка доступа к подобным сервисам может снизить риск заражения.

IPv4

• 104.64.43.42
• 137.184.164.103
• 139.162.113.188
• 139.162.23.194
• 139.59.105.112
• 143.110.134.237
• 170.64.224.89
• 172.104.161.36
• 172.105.192.211
• 172.232.248.124
• 172.236.245.200
• 172.236.32.134
• 172.237.55.23
• 172.238.120.210
• 172.238.232.149
• 43.129.55.206
• 43.133.154.239
• 43.134.188.2
• 43.135.128.3
• 43.135.143.17
• 43.157.149.8
• 43.157.53.175
• 47.81.26.4
• 68.183.212.72

SHA256

• 026350ae32415cb25fb0868634e148b013588bcca30fba984b6fb5748b6ecbdd
• 1f8949958021f6323bff76a6317a86c865d07a299a9ebaba5133605012e60306
• 31e9e337bad2ad58ecc00d3056047e61f6df5d09be02df5e73118d1834ea6cbb
• 838b326d32b16440811c1b113abfcc0ec1fb54211bd2abc898522329271348c8
• f49a98d30e59c74ef08c3b1d67e068363b4daf09c8f607dd8e1d0e4f986bad92