Группа хакеров возобновила активность ботнета MooBot, который демонстрирует сложные техники обфускации и целенаправленные атаки на инфраструктуру России. Согласно данным мониторинга, с 10 сентября 2025 года злоумышленники провели серию обновлений вредоносного ПО и организовали масштабные DDoS-атаки.
Описание
MooBot, появившийся в 2019 году как вариант ботнета Mirai, претерпел значительные изменения. Изначально он использовал характерные строки типа "The cow says moo" и файлы с расширением .moopid для предотвращения повторного запуска. Однако к 2021 году malware перешел на генерацию случайных строк с использованием сида w5q6he3dbrsgmclkiu4to18npavj702f. Данный признак регулярно фиксируется в ходе наблюдений.
Особый интерес представляет эволюция механизмов взаимодействия с C2-серверами. В майских образцах 2025 года обнаружилась сложная система установки соединения. Критически важным элементом стала проверка контрольной суммы, где часть данных в памяти специально не инициализировалась. Такой подход, обычно считающийся программной ошибкой, здесь использовался для усложнения анализа. Конкретно, неинициализированная область памяти содержала фрагменты IP-адресов C2-серверов, что требовалось для корректного расчета checksum. Впоследствии этот сложный механизм был отключен, но код сохранился в измененной форме.
Примечательно взаимодействие MooBot с конкурирующим вредоносным ПО RapperBot. Анализ показал, что MooBot содержит специальные функции для устранения конкурентов. Наиболее значимой стала возможность обнаружения и принудительного завершения процессов, установивших соединение с C2-серверами RapperBot. После нейтрализации конкурирующего malware MooBot отправлял отчет на специальный сервер с идентификатором 5, что явно указывало на захват зараженных устройств. Мотивы таких действий остаются неясными - это могла быть как вражда между группировками, так и внутренний процесс миграции внутри одной группы.
Географическая направленность атак оказалась выраженной. Мониторинг с 10 сентября по 6 октября 2025 года показал, что основной мишенью стала Россия. Особенно выделялись атаки на сервисы TeamSpeak3, использующие специализированные векторы атак через UDP-пакеты. Распределение атак по времени суток явно соответствовало активности в определенных часовых поясах.
Оценка масштабов заражения основана на анализе временно открытых логов серверов загруки. Согласно этим данным, в сентябре насчитывалось около 3160 зараженных устройств. При этом использовалась сложная система смены портов и параметров для разных типов устройств, что затрудняет точную оценку общего количества жертв. Важно отметить, что в статистике отсутствуют устройства с параметрами, характерными для атак на Langflow-серверы через уязвимость CVE-2025-3248, что указывает на специализацию данной кампании на DVR и маршрутизаторах.
Лингвистические особенности в коде, включая комментарии на русском языке, свидетельствуют о возможном участии русскоязычных разработчиков. Это коррелирует с географией атак и временем активности ботнета.
Эпизод активной разработки и экспериментов продолжался около месяца. За этот период было выпущено более десяти обновлений malware с постоянно меняющейся спецификацией. В конечном итоге 7 октября 2025 года активность MooBot прекратилась, а инфраструктура переключилась на другой malware, использующий схожие C2-серверы, но разные порты. Новый вредонос использовал технику маскировки процессов через монтирование /proc/self в /proc/1, аналогично MountBot, однако функциональность DDoS-атак в нем отсутствовала, что указывает на раннюю стадию разработки.
Короткий период активности и экспериментальный характер многих функций позволяют предположить, что кампания могла быть этапом разработки или тестирования, а не полноценной коммерческой эксплуатацией DDoS-сервиса. Тем не менее, наблюдаемая эволюция MooBot демонстрирует продолжающуюся адаптацию IoT-ботнетов и усложнение их механизмов противодействия анализу.
Индикаторы компрометации
IPv4 Port Combinations
- 188.166.68.21:54707
- 193.168.196.38:60177
- 206.71.149.179:54707
- 45.61.137.226:54707
- 5.144.176.160:60177
- 78.153.140.92:80
- 80.66.75.121:25565
- 80.66.75.121:80
- 85.209.134.80:60177
Domain Port Combinations
- blueblackside.com:60177
MD5
- 0473c6b98ad7273ab3e9a9fb6f00ea54
- 7f78c49eaa67ce53044712c0aaf5c5f8
- 933d24c8b558a03b7285647875b920d5
- c974c2bfb758c06d61030b8af0ce270e
SHA256
- 9dd852b9ddff7e1c2fbaa8e75e2b4905c100de1e83ce999157ece4e797484585
- a6cf8124e9b4558aacc7ddfa24b440454b904b937929be203ed088b1040d1b36
- b622a7b848a9846e2af4f8f985777bb8d095b8eb56d57a502f97d446cfe82e9b
- b7083abcf87e6192904a08629e2f9e038b712a66132578df76ca9175d80e2841
