Киберугроза нового поколения: как ботнет Kaiji захватывает Linux-серверы и скрывает свою активность

Анализ атаки, проведенный через honeypot (хонепота) - специально настроенной ловушки для изучения методов злоумышленников, показал классический, но эффективный вектор проникновения. Злоумышленники использовали IP-адрес 45.12.1[.]19 для подбора слабых паролей к неправильно сконфигурированной службе SSH. Важно отметить, что данный IP уже имеет многочисленные пометки в VirusTotal как связанный с кампаниями Kaiji.

Особую тревогу вызывает расширение арсенала начальных векторов атаки. Исследовательская группа безопасности Santander сообщает о новой тактике: злоумышленники встраивают бэкдор в эксплойт-код для уязвимости CVE-2024-6387, маскируя его под доказательство концепции. Запуск такого PoC приводит к немедленному заражению сервера ботнетом Kaiji.

Основная нагрузка представляет собой профессионально собранный бинарный файл на Go весом около 5.32 МБ. Анализ показал, что это многофункциональная платформа с поддержкой более 24 протоколов атаки, включая TCP, UDP, TLS и WebSocket. Модульная архитектура включает встроенные прокси SOCKS5 и HTTP, каналы управления через HTTP/HTTPS и WebSocket, а также механизмы обфускации трафика.

Особенностью Kaiji является комплексный подход к обеспечению устойчивости в системе. Зловред создает четыре копии себя в различных системных директориях: /boot/system.pub, /usr/lib/system.mark, /usr/lib/libgdi.so.0.8.2 и /etc/profile.d/bash.cfg. Каждая копия активируется через различные механизмы автозапуска.

Первый механизм persistence (устойчивости) реализован через создание systemd-сервиса quotoan.service и классического init-скрипта /etc/init.d/dns-udp4. Более того, Kaiji активно противодействует системам безопасности, генерируя и устанавливая кастомную политику SELinux через audit2allow, что эффективно нейтрализует защиту на уровне ядра.

Второй метод использует cron-задачу, выполняющуюся каждую минуту и запускающую скрипт /.mod, который активирует копию вредоноса под видом библиотеки libgdi.so.0.8.2. Имя файла выбрано для маскировки под легитимный системный компонент.

Третий подход более изощрен: Kaiji размещается в /etc/profile.d/bash.cfg, а специальный скрипт обеспечивает его выполнение при каждом входе пользователя в систему. Это гарантирует постоянное присутствие в памяти даже после перезагрузки.

Четвертый механизм демонстрирует глубокую интеграцию в систему. Модифицируются многочисленные init-скрипты сервисов Apache, Nginx и Fail2ban, что обеспечивает запуск зловреда вместе с легитимными службами.

Техники уклонения от обнаружения включают манипуляции с виртуальной файловой системой /proc. Kaiji выполняет bind mount директории /tmp поверх /proc/55 (свой PID), что скрывает процесс от стандартных инструментов мониторинга. Дополнительно внедряется скрипт gateway.sh, который переопределяет ключевые системные утилиты - ps, ss, netstat, find и другие - фильтруя из их вывода информацию о процессах и файлах зловреда.

Функциональность ботнета сосредоточена на организации DDoS-атак и проксировании трафика через зараженные системы. В наблюдаемой атаке использовался домен su6s.su, зарегистрированный в августе 2025 года, с поддоменом else.su6s[.]su, указывающим на IP 198.251.81[.]61. Основной пейлоад загружался с HTTP File Server по адресу 195.177.94[.]29[:]26154.

Несмотря на то, что кампании Kaiji отслеживаются с 2022 года, текущая инфраструктура свидетельствует о постоянном развитии угрозы. Сочетание продвинутых техник персистентности, стелс-методов и многофункциональности делает этот ботнет серьезным вызовом для специалистов по кибербезопасности. Рекомендуется усилить мониторинг подозрительной активности, связанной с перечисленными индикаторами компрометации, и регулярно обновлять системы обнаружения вторжений.

IPv4

• 45.12.1.19

IPv4 Port Combinations

• 195.177.94.29:26154

MD5

• 138ba58259d3c64b34a2b9c5d0b8b178
• 22d13a183daf35ab59cefe80c26eed5f
• 23c9b408f3695e967237e387a0ee96f3
• 2964bf18cd6050068e73ccff0c848e48
• 3a7ae1ecb3df725b8e5adfef4a2216ba
• 75ca8e126c5d0d20bf9dc9002251faea
• a073a59ada046057bf1cc5d985d7eea7
• b93915ef006606b4720dc566845575a2
• d432e6694dd34a4b1f329ad10acf802a
• d607f9dc8f2cdce76dac6eb67e40fa2a
• d9a7e01b0c65587083fa42bd73783819
• fd05b94c016fd2eb7e26c406fa2266d0