Новый контроллер XorDDoS и инфраструктура

За период с ноября 2023 года по февраль 2025 года более 70% атак использовали XorDDoS и были направлены в США. Языковые особенности контроллера XorDDoS и инструментов, связанных с ним, указывают на то, что операторами могут быть китайские говорящие лица. Новая версия контроллера XorDDoS, известная как "VIP-версия", была использована для создания сети DDoS-ботов для более сложных и масштабных атак. Анализ Talos позволяет определить сетевую схему трояна XorDDoS, что может помочь жертвам узнать, когда они становятся мишенью для этих троянов.

Троян XorDDoS известен как вредоносная программа DDoS, которая атакует Linux-машины, превращая их в "зомби-ботов". Он использует простой китайский пользовательский интерфейс, что указывает на то, что за ним стоят китайские говорящие операторы. За последние годы распространенность трояна XorDDoS значительно увеличилась, влияние его командно-контрольной (C2) инфраструктуры также растет. Троян распространился на серверы Docker и использует стратегию перебора SSH для получения доступа к целевым устройствам. Даже существующие решения и методы обнаружения вредоносного ПО XorDDoS не останавливают его распространение.

Talos продолжает наблюдать использование вредоносной программы XorDDoS. Согласно наблюдениям, в период с ноября 2023 года по февраль 2025 года троян продолжал оказывать глобальное воздействие, причем около 50% успешно скомпрометированных целей были в США. Зараженные системы пытались атаковать несколько стран, включая Испанию, Канаду, Японию и другие. Talos также наблюдала глобальные DDoS-атаки, осуществляемые при помощи взломанных машин с использованием XorDDoS, причем более 70% таких атак были направлены на США.

Что касается цепочки заражения, XorDDoS использует метод перебора SSH, чтобы получить доступ к Linux-устройствам и превратить их в ботов. Как мера самозащиты, троян внедряет механизмы персистентности, чтобы обеспечить автоматическую загрузку. Он также использует дешифрование и ключ XOR для расшифровки конфигурации и установки удаленных адресов. Talos обнаружила новую "VIP" версию субконтроллера XorDDoS, которая может управлять "VIP-версией" вредоносной программы, отследив ее первый экземпляр в 2024 году.

В целом, XorDDoS продолжает представлять угрозу и оказывать значительное влияние на международном уровне.

IPv4

• 100.186.28.101
• 101.19.17.63
• 102.102.40.93
• 102.104.20.163
• 103.233.139.67
• 103.67.204.12
• 105.154.197.21
• 105.204.157.116
• 105.82.165.229
• 108.6.121.201
• 11.120.253.147
• 11.90.157.105
• 11.94.220.78
• 110.198.221.255
• 112.82.170.116
• 113.39.108.38
• 113.4.120.133
• 114.93.129.252
• 115.47.150.194
• 115.54.123.68
• 117.211.25.159
• 122.253.213.233
• 126.131.151.182
• 128.201.165.117
• 128.213.58.181
• 130.13.170.191
• 130.149.28.49
• 130.220.81.136
• 130.92.41.45
• 132.210.208.126
• 132.22.130.182
• 134.179.122.20
• 135.215.42.239
• 135.80.130.171
• 136.21.19.226
• 138.223.171.81
• 139.5.72.243
• 141.56.191.234
• 142.128.90.47
• 142.147.137.57
• 142.53.46.88
• 145.148.78.213
• 145.231.225.189
• 148.130.188.55
• 152.53.201.191
• 153.135.4.100
• 155.121.26.72
• 158.90.0.57
• 16.245.213.94
• 160.66.194.46
• 163.111.174.25
• 164.65.179.249
• 169.19.44.236
• 171.141.101.142
• 172.164.145.39
• 177.60.27.182
• 181.180.191.184
• 181.74.116.236
• 182.250.145.200
• 184.207.146.227
• 187.196.123.241
• 189.202.168.57
• 189.47.95.188
• 19.29.200.49
• 19.3.185.48
• 19.54.27.231
• 19.92.109.169
• 193.72.100.178
• 196.173.160.72
• 197.138.181.205
• 197.147.63.205
• 198.210.156.184
• 199.255.31.187
• 199.75.66.7
• 2.36.134.24
• 2.77.15.250
• 20.150.29.7
• 20.52.55.108
• 200.41.207.138
• 201.37.105.118
• 202.254.97.111
• 202.40.100.109
• 204.228.249.108
• 205.166.57.152
• 206.87.16.148
• 206.97.241.198
• 208.160.103.78
• 209.142.199.108
• 21.109.28.217
• 211.185.232.213
• 215.169.69.253
• 216.111.225.121
• 217.69.177.221
• 217.69.203.76
• 218.131.25.110
• 221.137.188.10
• 221.205.226.233
• 223.39.125.83
• 24.114.63.133
• 28.155.77.80
• 28.201.96.131
• 29.180.243.229
• 30.242.210.74
• 32.103.199.94
• 32.113.253.123
• 33.110.9.107
• 4.111.141.150
• 42.189.51.36
• 43.220.64.255
• 44.236.83.193
• 45.220.152.136
• 46.102.78.38
• 46.242.77.170
• 47.42.59.162
• 47.77.88.203
• 48.138.207.203
• 49.14.187.47
• 5.209.26.204
• 51.183.72.67
• 52.152.113.213
• 52.178.131.251
• 53.137.188.173
• 53.87.218.39
• 54.59.0.130
• 55.26.131.230
• 56.160.63.29
• 56.80.128.46
• 58.60.184.214
• 59.117.62.235
• 6.187.63.174
• 60.156.128.82
• 60.255.204.219
• 61.7.67.243
• 62.170.108.36
• 63.142.154.110
• 66.152.9.129
• 66.79.176.61
• 67.111.174.34
• 69.170.30.33
• 69.61.83.248
• 69.69.2.11
• 70.109.15.46
• 70.174.94.91
• 70.189.186.116
• 71.130.126.169
• 71.136.118.192
• 72.251.246.128
• 73.95.47.244
• 74.1.137.255
• 74.77.87.71
• 76.12.154.30
• 76.169.112.216
• 78.66.242.133
• 79.75.239.146
• 8.133.158.119
• 80.84.123.83
• 81.205.6.128
• 83.179.130.214
• 83.222.159.154
• 83.50.5.138
• 85.57.171.146
• 85.67.160.134
• 88.57.63.244
• 89.106.211.21
• 89.54.90.113
• 91.54.10.57
• 92.118.168.196
• 94.249.26.200
• 96.222.90.160
• 98.2.205.78
• 99.222.161.114

Domain Port Combinations

• ppp.gggatat456.com:1520
• ppp.xxxatat456.com:1520
• www1.gggatat456.com:1520

SHA256

• 70167bee44cde87b48e132a9abbac66055277cb552f666ca8b7bf5120914e852
• d09731c39d57e1c38b771f530422815bb01c338870645e655e53d55266e81556