Ботнет Outlaw сменил версию SSH-клиента: семилетняя кампания mdrfckr адаптируется к защитным механизмам

Речь идёт о кампании, которая получила своё название по строке комментария к публичному ключу mdrfckr. Хеш SHA-256 файла authorized_keys, используемого для закрепления в системе, совпадает со значением a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2, которое впервые появилось в VirusTotal ещё 5 июля 2018 года. Таким образом, ключ доступа злоумышленников не менялся почти восемь лет - исключительная стабильность для ботнета.

Специалисты по информационной безопасности отслеживают эту активность уже много лет. Первые публикации о группировке Outlaw (также известной как Dota) появились в отчётах Trend Micro в 2018 году, затем последовали работы Anomali, Yoroi, Juniper, CounterCraft, Cybereason и Kaspersky. Каждое исследование описывало практически одинаковую тактику: после успешной аутентификации злоумышленники отключают защиту каталога .ssh с помощью команды chattr -ia, записывают свой ключ в authorized_keys, после чего выполняют разведку и сбор информации. Попутно они меняют пароли учётных записей и удаляют следы конкурентов - других вредоносных ботнетов, которые могли бы мешать.

Ключевым инструментом для отслеживания кампании стал анализ так называемого hassh - хеша от набора шифров, алгоритмов аутентификации и сжатия, которые клиент SSH предлагает при соединении. Разные версии библиотеки libssh поставляются с разными наборами алгоритмов по умолчанию, поэтому каждая новая версия даёт свой уникальный хеш.

Согласно наблюдениям, опубликованным в блоге port22.dk, с октября по ноябрь 2022 года подавляющее большинство сессий mdrfckr (99,1 процента) использовали хеш 51cba57125523ce4b9db67714a90bf6e, соответствующий клиенту libssh версий 0.6.0 и 0.6.3. Уже в декабре 2022 года начался переход на второй хеш f555226df1963d1d3c09daf865abdc9a (libssh 0.9.5 и 0.9.6), который использовали примерно 30 тысяч уникальных IP-адресов. Тогда же изменилась и команда отключения защиты: помимо chattr -ia .ssh стала появляться команда lockr -ia .ssh.

В апреле 2026 года исследовательский сенсор, включённый в распределённую систему DShield, зафиксировал очередную эволюцию. За период с 14 по 21 апреля 2026 года 24 уникальных IP-адреса выполнили операцию записи того самого ключа с хешем a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 в файлы authorized_keys на скомпрометированных серверах. Все эти IP-адреса использовали клиентский баннер SSH-2.0-libssh_0.11.1, а хеш hassh составил 03a80b21afa810682a776a7d42e5e6fb.

Интенсивность атаки оказалась высокой: за восемь дней сенсор зафиксировал 229 модификаций файлов authorized_keys в рамках 1 230 сессий SSH, а также 4 133 команды, выполненных после аутентификации. Пик пришёлся на 19 апреля 2026 года, когда 20 из 24 IP-адресов впервые подключились к сенсору в течение всего 131 секунды - это говорит о координации атаки. При этом каждый адрес выполнял лишь около десяти попыток входа, что не позволяет сработать простым ограничениям по частоте запросов вроде fail2ban.

Набор атакуемых учётных записей остался прежним. Злоумышленники используют типовые комбинации: steam с паролем Steam29!, postgres c q1, dev c dev5, а также root с AAAaaa111, root000@ и другими слабыми паролями. Ничего нового - это классический словарь Outlaw, который не меняется годами.

Для специалистов по защите информации смена версии клиента означает прямую угрозу эффективности существующих правил обнаружения. Если в 2022 или 2023 году были написаны сигнатуры, отслеживающие хеши 51cba57125523ce4b9db67714a90bf6e или f555226df1963d1d3c09daf865abdc9a, то активность 2026 года они просто не увидят. Наиболее надёжным индикатором остаётся сам хеш файла authorized_keys, который не менялся четыре года. Или, как вариант, можно отслеживать строку комментария mdrfckr, последовательность команд разведки и другие поведенческие паттерны.

Стоит отметить, что масштаб апрельского наблюдения невелик - всего 24 IP-адреса на одном сенсоре за восемь дней. Это слишком малая выборка, чтобы делать статистически значимые выводы о доле нового хеша в общей активности кампании. Но сам факт перехода на libssh 0.11.1 подтверждает, что операторы ботнета продолжают поддерживать свою инфраструктуру актуальной.

Кампания mdrfckr остаётся классическим примером долгоживущей угрозы, которая не меняет сути, но методично обновляет инструменты. Защитникам, которые полагаются на анализ версий клиентского программного обеспечения в качестве раннего предупреждения, стоит добавить новый хеш 03a80b21afa810682a776a7d42e5e6fb в списки отслеживания. Однако более надёжной стратегией остаётся привязка правил детектирования к неизменным элементам: статическому ключу, строке mdrfckr и типовым командам, которые преступники выполняют после взлома.

IPv4

• 146.59.32.130
• 147.45.50.81
• 148.113.222.4
• 157.173.126.206
• 173.249.41.171
• 173.249.50.59
• 176.147.144.172
• 191.101.59.252
• 194.104.94.20
• 2.59.183.94
• 213.225.14.165
• 35.210.61.208
• 4.210.91.174
• 41.128.181.199
• 46.253.45.10
• 5.99.196.202
• 62.193.106.227
• 77.105.132.10
• 77.237.238.1
• 80.102.218.187
• 81.57.15.243
• 86.110.51.47
• 89.116.31.97
• 89.46.131.162

Hassh fingerprint

• 03a80b21afa810682a776a7d42e5e6fb
• 51cba57125523ce4b9db67714a90bf6e
• f555226df1963d1d3c09daf865abdc9a

SHA256

• a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2