Pybot DDoS IOCs

botnet

Аналитическая группа ASEC отслеживает вредоносные программы, распространяемые через нелегальное программное обеспечение, такое как кряки или серийные кейгены. Многие из вредоносных программ, распространяемых таким образом, являются Infostealers, такими как Vidar, CryptBot и RedLine. Группа анализа ASEC недавно обнаружила Pybot DDoS, распространяемый с помощью нелегального программного обеспечения.

Программа, используемая в качестве приманки, - это генератор токенов под названием Nitro Generator. Nitro - это платная услуга Discord с различными преимуществами. Nitro Generator - это инструмент, генерирующий коды, которые могут быть использованы для бесплатного доступа к Nitro.

Pybot DDoS

Pybot - это вредоносная программа DDoS Bot с открытым исходным кодом, разработанная на языке Python. Особенностью PYbot, отличающей его от обычных вредоносных программ DDoS Bot, является то, что Pybot способен выполнять только DDoS-атаки. Конечно, существуют такие вредоносные программы, как Mirai, Gafgyt и Tsunami, главной особенностью которых являются DDoS-атаки, но у них есть и базовые функции, такие как минимальное обновление вредоносного ПО и выполнение команд от агента угрозы.

Кроме того, эти типы нацелены на уязвимые IoT-устройства с непропатченными уязвимостями или неадекватно управляемые, а не на системы Windows. Среди вредоносных программ, нацеленных на системы Windows, вредоносные программы типа RAT в основном имеют функцию DDoS-атаки. Однако возможность удаленного управления зараженными системами является основной особенностью RAT.

Выявленный в настоящее время PYbot распространяется на системы Windows, но он также может быть использован для поражения систем Linux, поскольку программы, написанные на языке Python, могут быть запущены и в Linux.

PYbot - это вредоносная программа на языке Python, но агент угрозы распространил ее после сборки в исполняемый файл Windows с помощью PyInstaller. PyInstaller - это инструмент, который позволяет запускать скрипты Python в среде, где Python не установлен, путем упаковки необходимых для выполнения скрипта модулей в исполняемый файл Windows. По сути, PyInstaller - это инструмент, подобный Bat2exe, который преобразует скрипты в исполняемые файлы. Однако, в отличие от пакетных файлов, которые могут выполняться в стандартном окружении Windows, скрипты Python требуют установки Python для выполнения. Поэтому особенностью PyInstaller является то, что он включает в себя несколько модулей, которые позволяют выполнять сценарии Python.

Недавно PYbot распространялся вместе с нелегальной программой, связанной с платной службой Discord под названием Nitro. При заражении PYbot пользовательские системы могут использоваться в качестве DDoS-ботов, которые получают команды от угрожающего субъекта для выполнения DDoS-атак на определенные цели.

Использование нелегального программного обеспечения, такого как крэки и кейгены для платного ПО, для распространения вредоносного ПО является одним из основных методов, используемых угрожающими субъектами.

Indicators of Compromise

IPv4 Port Combinations

  • cnc.dotxyz.cf:666

URLs

  • http://75.119.139.66/p.exe
  • https://cdn.discordapp.com/attachments/1063947830827421708/1069081977828937728/Windows_Defender.lnk
  • http://cnc.dotxyz.cf/Windows%20Defender.exe

MD5

  • 1cf392ce0c7fd5b56da8888c43a03be3
  • 493b3bd39f89ed0d2f5ec3f175490b43
  • 4db2035a98b270d485b95ea7cf417898
  • 7e7694cfecf3e0809bcf28009cab4adb
  • 827c83f08d1c139e4b6698bdcf386da8
  • 8fa445bbc93c43d5769038e56aeca84f
Комментарии: 0