Киберпреступники распространяют скрытный DDoS-инструментарий через подписанный вредоносный драйвер, угрожая тысячам пользователей

Согласно данным системы сбора угроз (Threat Intelligence) Huorong, исходным вектором заражения выступает вредоносный драйвер с именем "z_driver.sys". Ключевой особенностью, позволившей ему длительное время оставаться незамеченным, является наличие действительной цифровой подписи. Информация о подписанте указывает на китайскую компанию «Шаньси Жуншэнъюань Кэмао Юсянь Гунсы» (山西荣升源科贸有限公司). Технический анализ показал, что злоумышленники злоупотребили сертификатом стороннего центра сертификации (Certificate Authority, CA) Verokey, имеющего перекрёстную подпись (cross-signed) от Microsoft. Такая практика, когда украденные или неправильно выданные код-сигнатуры используются для подписи вредоносного ПО, представляет серьёзную проблему для систем безопасности, полагающихся на проверку подлинности драйверов.

После загрузки в систему драйвер "z_driver.sys" реализует комплексный механизм самозащиты и скрытности, характерный для руткитов. Он регистрирует несколько ядерных回调-функций (kernel callbacks) с помощью "FltRegisterFilter" и "CmRegisterCallback". Эти функции позволяют ему перехватывать и фильтровать системные операции, например, блокировать доступ недоверенным процессам к временным файлам, защищать собственную директорию от модификации и контролировать доступ к определённым разделам реестра для управления версиями вредоносного компонента. Для обфускации строковых данных, таких как доменные имена серверов управления (Command-and-Control, C2), используются кастомные алгоритмы шифрования.

Основная полезная нагрузка (payload) драйвера - это вредоносная динамически подключаемая библиотека (DLL), которая извлекается из ресурсов файла после двойного процесса расшифровки (XOR) и распаковки (zlib). Драйвер создаёт копию этой DLL в временной директории и использует легитимный процесс "rundll32.exe" для её выполнения. В конечном итоге код внедряется в системный процесс "svchost.exe", что обеспечивает вредоносной активности постоянство (persistence) и маскировку под легитимную системную активность. Внедрённый код затем устанавливает связь с инфраструктурой злоумышленников, отправляя уникальный идентификатор устройства и информацию об операционной системе, после чего загружает основные инструменты для атак.

Основным загружаемым инструментом является "Clinet.dat" - полнофункциональный DDoS-клиент, написанный на языке Go. Его размер около 12 МБ свидетельствует о наличии обширного функционала. Клиент поддерживает широкий спектр команд, которые можно условно разделить на управляющие (например, обновление, остановка) и атакующие. Для организации DDoS-атак инструмент использует многопоточность и высокую степень параллелизма. Особый интерес представляет его способность обходить современные механизмы защиты веб-ресурсов, такие как те, что предлагает Cloudflare. Для этого клиент может запускать фоновый процесс "pp.exe", который, по сути, является скрытым движком браузера для выполнения JavaScript-кода и генерации необходимых токенов или cookie. Кроме того, клиент анализирует ответы целевых серверов (например, HTTP-статусы) для автоматического выбора метода обороны, будь то решение капчи или обход ограничений по скорости запросов.

Второй загружаемый файл, "ccw.dat", представляет собой упакованный с помощью Nullsoft Scriptable Install System (NSIS) архив, содержащий более простой инструмент для DDoS-атак - библиотеку "cc.dll". Несмотря на название, намекающее на атаки на прикладном уровне (Layer 7, или CC-атаки), её функционал ограничен примитивными флуд-атаками на транспортном уровне (Layer 4) по протоколам TCP и UDP.

Анализ временных меток и доменной инфраструктуры указывает на то, что кампания активна как минимум с февраля 2025 года и продолжает развиваться. В более новых образцах обнаружена функция закрепления в системе через создание записи в реестре Windows. Один из используемых доменов C2 ("ddd222[.]xyz") имеет историю: ещё в 2019 году он ассоциировался с кампанией по распространению нежелательного ПО (ПНП). Это позволяет предположить, что за атакой стоит опытная киберпреступная группа, которая может расширять функционал своего инструментария. По оценке экспертов Huorong, в будущем возможна добавление функций по перехвату браузера или краже учётных данных.

Данный инцидент наглядно демонстрирует конвергенцию угроз: методы, ранее характерные для сложного целевого шпионского ПО (использование подписанных драйверов, руткит-функциональность, инъекция в системные процессы), теперь применяются для создания устойчивых ботнетов для коммерческих DDoS-атак и накрутки трафика. Для специалистов по информационной безопасности это сигнал к пересмотру политик доверия к код-сигнатурам и усилению мониторинга нестандартного поведения системных процессов, особенно "svchost.exe" и "rundll32.exe". Пользователям следует проявлять осторожность при загрузке программного обеспечения из непроверенных источников и использовать надёжное антивирусное решение с функциями проактивной защиты, способное обнаруживать подобные сложные угрозы на основе поведенческого анализа.

IPv4

• 107.151.212.137

Domains

• dddz22.xyz
• dwav.cose.space
• jjycc.cc
• topwin10.com
• winc789.com

SHA256

• 2c6cce2a8587e3f7e8b7000422e525ced242acbcd40a05a8d8f8fcbbcfb57cc4
• 3124dbce09ad84343aae13e837cbb5884543774906b8f341f66150e9714a5f00
• 5af0d0ec1da5d3ff5f4e3a96045accc0e00232f965d160571074231189a9f41e
• 95102605e1af2c4d3df21c430e3ed021a2b88e4bff46a1b14aa3591b7a126ff5
• e2a68b479a7695ae528e13fba7f3d03edaf5e9b36041991c2e2090722ddbf501
• f6c1b51a1d3242932dc50be8a875531a6bd71642d967afc8d4ffc5214d40dce9
• ff02bc9689018797c1560b39cf8e235a377bc0b64457000fc3edd7c29913baa9