NoName057 (16) с марта 2022 года занимается DDoS-атаками на объекты, которые высказывают антироссийские взгляды. В ноябре 2024 года группа NoName057 вместе с хактивистскими группами Cyber Army of Russia Reborn и Alixsec произвели серию DDoS-атак на веб-сайты крупных государственных учреждений в Южной Кореи. Данные атаки были ответом на заявления министра иностранных дел Чо Тхэ Юля и президента Юн Сук Ёля об оружейных поставках в Украину. В результате атаки различные южнокорейские организации понесли ущерб.
DDoSia Malware
Группа NoName057 отличается от других групп использованием автоматизированных DDoS-ботов, таких как DDoSia, которые побуждают отдельных пользователей принимать участие в атаках. У хактивистов есть Telegram-канал с десятками тысяч подписчиков, на котором они активно рекламируют свою деятельность и делятся целями и ходом атак в режиме реального времени через социальные сети. Участники группы получают криптовалюту за успешные атаки, что стимулирует еще больше людей присоединяться к ним.
DDoSia, используемая группой NoName057, работает путем загрузки файла "client_id.txt" из Telegram-канала и размещения его перед выполнением атаки. По умолчанию используется адрес C&C-сервера, включенного в программный код, однако, поскольку IP-адрес постоянно меняется, злоумышленникам приходится получать новый IP-адрес от Telegram, если не удается установить соединение.
В процессе выполнения DDoSia сначала осуществляется аутентификация, где система собирает и отправляет базовую информацию о системе на основе файла идентификации "client_id.txt". Затем система получает временную метку от C&C-сервера и снова подключается к нему для получения списка целей атаки. Для этого используется определенный URL-адрес. Наконец, система периодически отправляет результаты состояния атаки на C&C-сервер.
Некоторые из команд, получаемых от C&C-сервера, включают http, http2, tcp и nginx_loris. DDoSia, разработанная на языке Go, поддерживает команды http и http2, но не поддерживает команды tcp и nginx_loris. Однако предыдущая версия DDoSia, созданная на языке Python, поддерживала технику TCP SYN Flood, поэтому существует вероятность, что это будет поддерживаться и в других версиях. Чтобы обойти обнаружение защитных механизмов во время DDoS-атаки, C&C-сервер случайным образом выбирает User-Agent и отправляет HTTP-запрос на себя или цель атаки.
Indicators of Compromise
IPv4
- 45.152.115.205
- 62.60.237.103
- 77.91.100.134
- 94.131.97.202
MD5
- 0d5cac778ec1f9a1471e0d78742d3fe9
- 161b8fcfc27636c51890a7c84644844a
- 1cd8d1073dc4e1f5c7265e6658f32544
- 2add4181b214dc516e7f7a6c74699457
- 52fb14f74ef5d0dcf89285a60d5c5a73
