Новый DDoS-ботнет Kamasers превращает корпоративные системы в платформу для атак и угрожает бизнес-непрерывности

Kamasers - это сложное семейство вредоносных программ, предназначенное для проведения DDoS-атак на различных уровнях сетевого взаимодействия. Он поддерживает как прикладные атаки (например, HTTP-флуд и нацеленные на API), так и транспортные (UDP, TCP), включая современные векторы вроде GraphQL-флуда. Однако главная опасность кроется не только в его разрушительном потенциале. Ботнет также функционирует как загрузчик (loader), способный по команде скачивать и исполнять дополнительные вредоносные модули. Это открывает путь для более глубокого проникновения в корпоративную сеть, кражи данных или развёртывания программ-вымогателей уже после первоначального компромета.

Особое внимание специалистов по информационной безопасности привлекает механизм управления Kamasers. Для получения адресов своих командных серверов (C2, command-and-control) ботнет использует так называемый Dead Drop Resolver (DDR) - метод, при котором актуальные данные о инфраструктуре управления извлекаются из легитимных публичных сервисов. В случае с Kamasers это GitHub Gist, Telegram, Dropbox, Bitbucket и даже API блокчейн-обозревателя Etherscan. Такой подход делает инфраструктуру управления чрезвычайно устойчивой к попыткам ликвидации, поскольку сами сервисы-"перевалочные пункты" не являются незаконными, а их блокировка практически невозможна. Если все DDR-каналы недоступны, ботнет переключается на встроенный список резервных доменов.

Аналитики ANY.RUN в своём исследовании отмечают, что активность ботнета носит международный характер. Наибольшее количество срабатываний детекторов зафиксировано в Германии и США, отдельные случаи отмечены в Польше и других странах. При этом среди целей атак значатся организации сектора образования, телекоммуникаций и технологий, включая компании в регионе LATAM (Латинская Америка). Наблюдались также команды управления на испанском языке (например, "!descargar" вместо "!download"), что может косвенно указывать на происхождение или эволюцию ботнета в испаноязычной среде.

Важным элементом инфраструктуры, связанной с Kamasers, является автономная система (ASN) провайдера Railnet. Этот хостинг-провайдер, не требующий верификации клиентов (KYC), неоднократно фигурировал в отчётах о вредоносной активности. Его инфраструктура использовалась в кампаниях против государственных и частных организаций в ряде европейских стран, а также для распространения других семейств вредоносного ПО, таких как Latrodectus. Постоянное появление одного и того же ASN в разных вредоносных кампаниях делает его удобным хабом для злоумышленников.

Бизнес-риски, связанные с подобными ботнетами, выходят далеко за рамки простоев. Если корпоративная система оказывается заражена и становится частью ботнета, организация сталкивается с целым каскадом проблем. Во-первых, её инфраструктура может быть использована для атак на третьи стороны, что создаёт репутационные, договорные и даже юридические риски, включая возможную блокировку IP-адресов. Во-вторых, способность ботнета загружать дополнительную полезную нагрузку превращает единичный инцидент в потенциальные данные для полномасштабного взлома с утечкой данных. В-третьих, расследование, очистка заражённых систем, валидация внешнего воздействия и восстановление работоспособности требуют значительных финансовых и операционных затрат. Наконец, использование легитимных сервисов для управления затрудняет обнаружение вредоносного трафика, увеличивая время реакции служб безопасности.

Технический анализ образца Kamasers выявил продуманную архитектуру. После запуска вредоносная программа динамически конструирует запросы к DDR-каналам. Получив адрес активного C2-сервера, бот устанавливает прямое соединение и начинает опрос на наличие команд. Все валидные команды должны начинаться с символа "!". Для ускорения обработки используется механизм кэширования обработчиков команд. Среди реализованных функций - высокоскоростная UDP-атака с подменой IP-адреса отправителя ("!udppro"), что позволяет проводить amplification-атаки через публичные NTP- и DNS-серверы, а также команда загрузки и исполнения файлов ("!download"). Всего в арсенале ботнета обнаружено 16 различных команд для организации атак.

Появление таких ботнетов, как Kamasers, сигнализирует о необходимости смещения фокуса в защите. Угроза DDoS эволюционировала от грубого переполнения каналов до сложных многоуровневых атак, которые могут служить прикрытием или первым этапом более серьёзного компромета. Для организаций критически важно выстраивать многослойную защиту, включающую не только традиционные DDoS-фильтры, но и системы мониторинга сетевой активности, позволяющие обнаруживать аномальные подключения к публичным сервисам, которые могут быть частью DDR-механизма. Своевременное обнаружение и изоляция заражённого узла позволяет предотвратить не только участие корпоративной системы в атаках на других, но и потенциальную эскалацию угрозы внутри самой сети.

Domains

• boskuh.com
• pitybux.com
• ryxuz.com
• toksm.com

URLs

• api.telegram.org/bot8215158687:AAFgSmsaxfsJozcHIIYPv-HytZ3eCEaUrKg
• Bitbucket.org/serky/repyx/raw/main/fq.txt
• dl.dropboxusercontent.com/s/jqvpmc0kwg6ffi1mineh2/fj.txt
• gist.github.com/pitybugak/5d16b75e8bd071e15b04cc9c06dcfafa.js
• http://178.16.54.87/uda/ph.php
• http://45.151.91.187/pa.php
• http://91.92.240.50/pit/wp.php

SHA256

• 071a1960fbd7114ca87d9da138908722d7f1c02af90ea2db1963915fbe234c52
• Dd305f7f1131898c736c97f43c6729bf57d3980fc269400d23412a282ee71a9a
• F6c6e16a392be4dbf9a3cf1085b4ffc005b0931fc8eeb5fedf1c7561b2e5ad6b