В июне 2025 года исследователи NSFOCUS Fuying Lab обнаружили новое семейство ботнетов под названием hpingbot, созданное на языке Go и активно распространяющееся в глобальном масштабе. Этот ботнет демонстрирует значительные отличия от известных семейств, таких как Mirai и Gafgyt, благодаря уникальным методам распространения и атак. Он поддерживает различные платформы, включая Windows и Linux/IoT, а также адаптирован под архитектуры процессоров amd64, mips, arm и 80386.
Описание
Одной из ключевых особенностей hpingbot является использование сервиса Pastebin для хранения и распространения вредоносных нагрузок. Этот подход позволяет скрывать активность, снижая вероятность обнаружения. Кроме того, ботнет использует популярный сетевой инструмент hping3 для организации DDoS-атак, что делает его более эффективным и дешевым в эксплуатации.
Хотя hpingbot способен проводить DDoS-атаки, его основная опасность заключается в возможности загрузки и выполнения произвольных вредоносных модулей. Это позволяет злоумышленникам использовать ботнет как платформу для распространения других угроз, включая ransomware и APT-компоненты.
Особенно тревожит активность Windows-версии ботнета. Несмотря на отсутствие возможности прямого вызова hping3, она остается крайне активной, что подтверждает намерения злоумышленников по расширению функционала за пределы DDoS.
С июня 2025 года hpingbot проводил атаки преимущественно против целей в Германии, США и Турции, но их общее количество оставалось невысоким. Однако это не означает слабость угрозы: ботнет большую часть времени находится в состоянии "сна", что усложняет его обнаружение.
Атаки осуществляются через hping3 с использованием различных методов, включая SYN-, UDP- и ACK-флуд, а также комбинированные атаки (например, BOTOX и FSRPau). Инструкции передаются в открытом виде, что упрощает их анализ, но не снижает эффективность.
Ботнет распространяется через SSH-брутфорс и другие методы, причем модуль распространения существует отдельно от основного тела вредоноса. Это помогает злоумышленникам скрывать критически важную информацию и контролировать масштабы заражения.
Разработчики hpingbot активно улучшают его функционал:
- Часто обновляют ссылки на Pastebin, меняя содержание с простых IP-адресов на сложные скрипты загрузки.
- Улучшают скрипты установки, добавляя поддержку различных пакетных менеджеров (apt, yum, pacman).
- Меняют адреса C&C-серверов, усложняя отслеживание.
- Внедряют механизмы самоудаления и очистки логов для избегания обнаружения.
Hpingbot находится на ранней стадии развития, но уже демонстрирует высокую активность и потенциал для эволюции. Его способность загружать произвольные нагрузки делает его особенно опасным, так как злоумышленники могут использовать его для распространения более серьезных угроз.
NSFOCUS Fuying Lab продолжает мониторинг этой угрозы, предупреждая о возможном росте ее активности. Организациям рекомендуется усилить защиту SSH-сервисов, блокировать доступ к Pastebin в корпоративных сетях и обновлять системы обнаружения вторжений для противодействия новым методам атак.
Индикаторы компрометации
IPv4
- 193.32.162.210
- 45.139.113.61
URLs
- http://128.0.118.18
- http://93.123.118.21
- http://94.156.181.41
MD5
- f33e6976e3692cb3e56a4cc9257f5aae
