Ботнет V3G4 эволюционирует: от DDoS к скрытому криптодобыванию

Кампания отличается многоэтапной цепочкой заражения. Изначально на устройство попадает загрузочный скрипт, который анализирует архитектуру системы и скачивает соответствующий бинарный файл бота для x86_64, ARM или MIPS. Основная нагрузка, получившая название V3G4, демонстрирует характерное для потомков Mirai поведение. После запуска вредоносная программа маскируется под системный демон "systemd-logind", проводит разведку окружения, инициирует агрессивное сканирование SSH на сырых сокетах для поиска новых жертв и поддерживает связь с командным сервером (C2).

Ключевой особенностью данной атаки является финальная стадия - развёртывание скрытого майнера на основе XMRig для добычи Monero. Вредоносное ПО загружает упакованный бинарник майнера в каталог "/tmp", маскируя его под легитимный процесс. Важнейший аспект - конфигурация майнера, включающая адрес кошелька, пул и алгоритм, доставляется динамически с C2-сервера непосредственно во время работы. Этот файловый подход позволяет злоумышленникам избежать оставления артефактов на диске, что значительно затрудняет последующий форензик-анализ.

С технической точки зрения, ботнет применяет ряд продвинутых техник для уклонения от обнаружения. Помимо маскировки процесса, вредоносная программа отсоединяется от терминала, подавляет вывод и использует TCP-сокет на localhost для внутренней межпроцессной коммуникации (IPC), что помогает ей сливаться с легитимной активностью. Для сканирования и атак используются сырые сокеты, позволяющие с высокой скоростью генерировать SYN-пакеты на 22-й порт. Связь с инфраструктурой управления осуществляется через многочисленные DNS-запросы к публичному серверу Google (8.8.8.8) для разрешения домена управления.

Эксперты отмечают, что подобная активность отражает общий тренд: злоумышленники, управляющие ботнетами, стремятся диверсифицировать источники дохода. Классические DDoS-атаки теперь дополняются скрытой добычей криптовалюты, что обеспечивает постоянный поток средств. Использование файловой конфигурации, упакованных бинарников, размещение в оперативной памяти (tmpfs) и агрессивные методы сканирования подчёркивают фокус злоумышленников на скрытности и монетизации в облачных и интернет-ориентированных Linux-средах.

Данная кампания является наглядным примером того, как устаревшие угрозы адаптируются к современным реалиям. Ботнеты семейства Mirai, изначально создававшиеся для примитивных атак, продолжают развиваться, интегрируя сложные механизмы устойчивости и стелс-техники. Специалисты по кибербезопасности рекомендуют администраторам усилить мониторинг нестандартной сетевой активности, особенно исходящего сырого трафика, а также регулярно обновлять системы и применять строгую политику паролей для SSH-доступа, чтобы противостоять подобным угрозам.

IPv4

• 103.149.93.224
• 159.75.47.123

Domains

• www.baojunwakuang.asia

Mining pool

• auto.c3pool.org:19999

URLs

• https://103.149.93.224/bins/Mddos.arm5
• https://103.149.93.224/bins/Mddos.arm64
• https://103.149.93.224/bins/Mddos.arm7
• https://103.149.93.224/bins/Mddos.mips
• https://103.149.93.224/bins/Mddos.mpsl
• https://159.75.47.123/bins/xmrig.x86_64
• vhttps://103.149.93.224/bins/Mddos.x86_64

SHA256

• 2c0261e6a3590e3554202116c5398637d0d7900895646d0aaf46d117aadd1612
• 2e6fecefa3062d2306124e014643a14066981f4865dedbeffb8c1d057dc650b2
• 39ead6055306739ab969a3531bde2050f556b05e500894b3cda120178f2773be
• 4ad4fe754acde2f79ced013d7dc7260e111ea23c7a47001e3fb16aa5d268852a
• 8350cd4e9b2f1056c8ccdf0d1b2406b32634840aa304d535ad4b6be5b365275c
• 90e28c0d2f2ce83164c2bfdcf42a8746ff055b35b81c95d4b18639b1f2e96885
• d5c55f18b1a7c01d3e4fb657b00aa677784640fef3c1742243a65ded07aeccc6
• f838c2ec86c444d09956934948a28ff6459da7afe820682ead81e4a95deb703a

Crypto Wallet

• 4AAjsvwrMQxBJpExraeoqdKrV8bwz2kkJG7P4axGTSip46CjmCrvSa8dztbNC4n6XuLr8wiXYgxS9c979hpdmi6s3LCNNja