Знаменитый ботнет Mirai, парализовавший крупные интернет-ресурсы в 2016 году, продолжает развиваться, представляя всё более изощрённую угрозу. Анализ нового образца, обнаруженного в июне 2025 года, показывает, что злоумышленники значительно модернизировали вредоносную программу, сделав её не только более скрытной, но и многофункциональной. В отличие от своего предшественника, новый вариант использует упаковку, скрывает следы в системе и нацелен не только на DDoS-атаки, но и на кражу данных.
Описание
Исходный Mirai печально известен массированной DDoS-атакой на провайдера DNS Dyn в 2016 году, которая привела к недоступности таких гигантов, как Twitter и Netflix. Этот ботнет заражал устройства интернета вещей, используя слабые или стандартные пароли. Новый же вариант, несмотря на меньший размер файла, демонстрирует качественный скачок в методах работы. Анализ статических свойств файла с хэшем SHA256 "a80261af4b7f2cad62a55983686c91c2a1aa78033451b851c4ac4f5fdb6f94a6" показал, что он упакован с помощью инструмента UPX для затруднения анализа.
После распаковки исследователи обнаружили в коде ссылки на стандартные сетевые утилиты, такие как wget, curl и tftp. Это позволяет вредоносной программе гибко загружать дополнительные зловредные модули с удалённых серверов, делая её структуру модульной и адаптируемой. Кроме того, код содержит команды для управления системой, например, "halt" и "reboot", что указывает на стремление злоумышленников не только нарушить работу устройства, но и обеспечить постоянное присутствие на нём. Создание lock-файлов, таких как "/tmp/.instance_lock", также является классическим приёмом для поддержания устойчивости.
Динамический анализ подтверждает подозрительную активность. Программа устанавливает исходящие соединения с известными вредоносными IP-адресами, например, "65.222.202[.]53", и осуществляет DNS-запросы. При этом, следуя тактике скрытия следов, основной исполняемый файл часто удаляется с диска после запуска, оставаясь активным только в оперативной памяти. Сетевая активность, включая многочисленные TCP-ретрансляции на порт 80, может свидетельствовать о сканировании уязвимостей или подготовке к атаке на отказ в обслуживании.
Для сравнения, старый образец Mirai 2016 года имел жёстко прописанные адреса для подключения и был значительно проще. Новый вариант представляет собой более универсальную платформу. Его возможности вышли далеко за рамки DDoS. Теперь ботнет может использоваться для скрытой передачи данных с заражённого устройства, доставки дополнительного вредоносного кода и долгосрочного контроля. Это превращает его в многоцелевую угрозу, соответствующую современным тактикам, описанным в матрице MITRE ATT&CK.
Эксперты рекомендуют несколько ключевых мер для защиты устройств, особенно в сегменте интернета вещей. Прежде всего, необходимо немедленно изменить стандартные пароли на уникальные и сложные. Кроме того, критически важно регулярно обновлять прошивки устройств, так как обновления часто закрывают известные уязвимости. Использование сегментации сети может ограничить распространение угрозы в случае компрометации одного устройства. Мониторинг сетевого трафика на предмет необычной исходящей активности также помогает в раннем обнаружении.
Эволюция Mirai наглядно демонстрирует, что угрозы из мира интернета вещей не стоят на месте. Из относительно простого инструмента для грубых атак он превратился в сложную и скрытную платформу. Этот тренд требует от специалистов по безопасности и обычных пользователей постоянной бдительности и пересмотра подходов к защите умных устройств.
Индикаторы компрометации
IPv4
- 160.30.44.120
- 65.222.202.53
MD5
- 1da4d5f6186e99ab77a9845dcd7c3d85
- 7fece27824b34816e0cc18c2ab3ee3ff
SHA1
- 425c3449a87b561550fc7f66544d00cb87ce3374
- 85f2287445fc0de461e357a7a2ffc26cd26955ad
SHA256
- a80261af4b7f2cad62a55983686c91c2a1aa78033451b851c4ac4f5fdb6f94a6
- f139c78c06276aaa4139c04859754f287a1c497e380627e64dbe7c901ea0ab43
