Обнаружен ботнет TuxBot v3 Evolution: мощный IoT-фреймворк с 16 эксплойтами и связями с группировкой AISURU

Специалисты по информационной безопасности обнаружили полный исходный код фреймворка, включая агента бота на языке C, управляющий сервер (CNC) на Go, сборочные скрипты и тестовую инфраструктуру. Вся платформа была восстановлена из внутренней телеметрии. Уже сейчас ясно, что TuxBot v3 Evolution - не просто очередной ботнет, а продуманная "DDoS-фабрика" с биллингом, квотами для пользователей и административной оболочкой через SSH.

В основе вредоносной активности лежит эксплуатация 13 уязвимостей (CVE) в популярных моделях роутеров, IP-камер и других устройств интернета вещей. Два специализированных сканера ищут устройства с открытым портом ADB (обычно 5555) и уязвимостью, допускающей удалённое выполнение кода. Все эксплойты загружаются с управляющего сервера по адресу http:///bins/bot.<архитектура>. Кроме того, ботнет использует брутфорс по протоколу telnet: база из 1496 пар логин/пароль, импортированная из набора DDOS-ROOTSEC, перебирается с XOR-ключом 0xB4. Успешные попытки входа немедленно отправляются на отдельный IP-адрес 154.6.197.43.

Архитектура CNC-сервера продумана до мелочей. Он написан на Go и поддерживает три сетевых интерфейса: основной канал для ботов на портах 1999 и 31337 (с мультиплексированием по магическим байтам), SSH-консоль для администратора на порту 2222 (баннер SSH-2.0-CNC-Control-Server) и JSON API на порту 9999. В SSH-оболочке реализована полноценная панель для заказа DDoS-атак с разделением пользователей по квотам. Связь с ботами шифруется: рукопожатие отправляет магическое слово 0xDEADBE01 и 32-байтовый открытый ключ X25519, CNC отвечает своим ключом.

Платформа поддерживает 78 идентификаторов атакующих векторов, которые сводятся к шести оптимизированным обработчикам: UDP (25 векторов), TCP SYN (47 векторов, причём все L7 HTTP-методы бесшумно превращаются в SYN-флуд), TCP ACK (2), TCP stomp (1), UDP DNS (2) и заглушка для майнинга. Кроме основного шифрованного канала, есть запасные: DNS TXT-запросы к c2.tuxbot.local (работают), DGA-генерация доменов на основе SHA-512 с зерном "<дата>-TuxBotv3-Evolution-Seed-2025 <индекс>" (20 доменов в день, работает), пиринговый протокол на порту 13337 с подписанными командами Ed25519 (работает), а также IRC и HTTP - оба сломаны из-за ошибки XOR-ключа.

Именно эта ошибка - одна из самых интересных особенностей TuxBot v3 Evolution. 58 табличных записей зашифрованы ключом 0xB4 (эффективное значение). Однако девять записей были обработаны офлайн-инструментом с другим ключом (0x54), что привело к неработоспособности IRC- и HTTP-каналов, а также четырёх эксплойтов. В результате примерно 30% функций платформы никогда не запускались. Но сама логика заражения (сканирование, эксплуатация, закрепление, первичная C2, DDoS) полностью функциональна. Сломаны также встроенная виртуальная машина для эксплойтов (из-за несовпадения магического числа), L7-методы (не интегрированы), полиморфный движок (никогда не вызывался), обход CF/CAPTCHA (мёртвый код, оставивший тестовые домены) и майнинг (заглушка).

Для закрепления в системе (persistence) бот использует семь механизмов: фальшивый systemd-сервис sd-pam.service, cron (запуск при загрузке и каждые пять минут), инъекции в оболочки .bashrc/.profile/.zshrc, скрытые резервные копии по трём путям, процесс-хранитель с отсрочкой при падении, сторожевой таймер и периодическое перемещение бинарного файла по 21 каталогу. Маскировка идёт под 20 системных демонов. Кроме того, встроен "убийца конкурентов": сканирование /proc на наличие сигнатур других ботнетов (Mirai, QBOT, Vamp, Anime, dvrHelper). Система также проверяет, не работает ли бот в виртуальной среде (анти-VM с порогом 30 баллов), использует ptrace-антиотладку, очищает логи, отключает core dump и устанавливает приоритет OOM в -1000, чтобы избежать вытеснения из памяти.

Особый интерес представляет связь TuxBot v3 Evolution с группировкой AISURU (также известной как Keksec). При анализе IP-адреса дроппера 185.10.68[.]127, расположенного в дата-центре FlokiNET (Исландия), исследователи обнаружили, что он используется совместно с образцами ботнета Kaitori v3.9 и инструментом на Go, работающим поверх протокола yamux. Последний, в свою очередь, общается с IP 194.46.59[.]169, принадлежащим AISURU. Ещё одно связующее звено - TLS-сертификат на домен jetross.com, который оказался общим для дроппера (Исландия) и CNC-сервера (Сингапур, IP 209.182.237.133). Домен разработчика digikalas.online разрешается в иранскую CDN, что может указывать на географию создателей.

Вывод тревожен: перед нами не просто ботнет, а почти готовый к коммерческому использованию набор для проведения DDoS-атак, ориентированный на уязвимые IoT-устройства по всему миру. Даже в неполном состоянии (70% функциональности) он способен заражать тысячи устройств и организовывать мощные атаки. Компаниям, эксплуатирующим IoT-инфраструктуру, следует в первую очередь закрыть перечисленные уязвимости, отключить telnet и убедиться, что устройства не используют стандартные пароли из популярных баз. История TuxBot v3 Evolution лишний раз напоминает, что изъяны в конфигурации и устаревшее ПО продолжают оставаться главным вектором для крупных ботнетов.

IPv4

• 107.174.133.119
• 185.10.68.127
• 188.166.2.226
• 194.46.59.169
• 209.182.237.133
• 45.145.185.229

IPv4 Port Combinations

• 209.182.237.133:2222

SHA256

• digikalas.online
• jetross.com

SHA256

• 0f8bcca3ed65e980da2a1f90a767b7d543be32eeea3e9338d09d4d635a497988
• 146f6010f6ee082aab13e0148d39baefa77eaba4ff65817b511b08c2092bdfd2
• 15c17dce89deccd5172285b2650de957918aa1157cde8e4633ae15dfe31f2711
• 246c97957651de568e61eba1abe572f0b0f960456209995d43d53a0d7cc494a1
• 2f2c3551762c03da126e45dca6fc2f997c63f0f1bfc21fd0ceed680ac6f083ce
• 3ec016d637e4c9cd331edd2580a229621ad638e924a4aa29ac0342e9144ace19
• 511d3ffb4091cbcc94571d9fb3102e8cb424c6e187d01d53ff12078d54929bda
• 6aa4034dc7a2858094ff4dc59af07d6fe31119591e41599bcc0f3d0b516ee734
• 6b7a8e0c96c2318e747f074f9a99d26738700769ac01bba692d19fc884847737
• 71dfbb171eca4ef9d02ff630b56e5283bbef7b375d4dbe9e8c9531bef312fa8d
• 96b1f96efca3b9df2dea85678d60da27e3265b4a00e39e20e64b27bb985e1561
• 9cd5e7e3c8bad321ef6c3d47fe25b3b56e9487f703a7eeee52db4067e6bafe61
• a03b0d41f5ef03328150331ffa0ed970998883f7e0343d79b2d3b95330d8e7c1
• a8d70d16509e227d8306be361bc37a3dc9fe34bf476f51e361e55e6d293c2b3f
• bd6431fb06e4689142ef597cf00382e38ae20a5393a4d9277e45a3f5b3cbcff9
• c7a36d6b8128c41f93a32413675401a10a2b5769b221bbaa8c5c309585b73ceb
• e3a5296e762e9ee16010399666441d663beeea956382e97cca032a6a5ad06811
• eb2fa179fde2f097c18d5d700ad87d660fc238ee14cbe5477032e60856859621
• f1efb78887bb8783d7781c07cd13b53c9c79ebe5baa81f335838d0a6e73dec7e
• f324a45fcd2a9db4e542c09486c21b08bc42d6bf76fbd5f17871090361b10815