Турецкий оператор XorBot управляет не только DDoS-ботнетом, но и сервисами кражи игровых аккаунтов и банковских карт

Ботнет XorBot представляет собой производную от печально известного Mirai и специализируется на атаках типа "отказ в обслуживании" (DDoS), нацеленных на устройства "интернета вещей" (IoT). По данным отчёта компании Trellix, сеть способна генерировать трафик мощностью около 290 Гбит/с, используя широкий спектр протоколов, включая UDP, TCP и ICMP. Однако ключевой находкой, позволившей начать расследование, стала насмешка, встроенная в скрипт доставки вредоносного кода. Текст "Похоже, вы - ловушка (honeypot), этот инструмент создан t.me/flylegit!" указал на Telegram-канал оператора. Этот канал, насчитывающий 249 подписчиков, рекламирует инструменты для DDoS и доступ к ботнетам.

Основной сервер управления и контроля ботнета располагался по адресу 85[.]11[.]167[.]182. Анализ соседних IP-адресов в той же подсети (/24) выявил, что адрес 85[.]11[.]167[.]194, всего в 12 шагах от C2, хостит домен easyfor[.]me. Этот сайт представлял собой сервис по хищению учетных записей популярной игры Minecraft. Используемый Java-стиллер, как установили исследователи, напрямую соотносился с репозиторием SeyitGit/EasyforMe на GitHub, который был заблокирован платформой в апреле 2025 года за нарушение правил. Профиль пользователя SeyitGit содержал реальное имя , местоположение и ссылку на аккаунт в X (ранее Twitter) с ником @IseyitThe.

Этот Twitter-аккаунт, в свою очередь, привел к второму профилю на GitHub - IseyitThe. Коммиты в этом аккаунте были подписаны электронной почтой iseyitthe@gmail[.]com. Более того, в основном аккаунте SeyitGit был обнаружен еще один репозиторий - SeyitGit/xo, содержащий так называемый "граббер" токенов Discord под названием XO версии 4.1.5. Этот инструмент был далеко не примитивным: помимо кражи токенов аутентификации из браузеров, он содержал модуль для перехвата данных банковских карт через платежную систему Stripe, интегрированную в Discord для покупок Nitro. В исходном коде стиллера имя "Сейит" было жестко прописано как автор. Таким образом, один оператор управлял тремя параллельными преступными предприятиями: DDoS-ботнетом, сервисом кражи игровых аккаунтов и финансовым мошенничеством с банковскими картами.

Технические возможности ботнета впечатляют. Помимо стандартных UDP и TCP-флудов, ботнет способен атаковать с использованием менее распространенных протоколов, таких как GRE (Generic Routing Encapsulation), OSPF (протокол динамической маршрутизации) и протокол игровых серверов Valve Source Engine (VSE), что демонстрирует глубокую адаптацию под разные цели. Для распространения вредоносное ПО эксплуатирует известные уязвимости в популярных маршрутизаторах D-Link, Huawei, Netgear и TP-Link, что обеспечивает постоянный приток новых зараженных устройств. География жертв включает Вьетнам, Украину, Бразилию и другие страны, причем около половины всего трафика ботнета исходит из Вьетнама.

Особый интерес представляют механизмы уклонения, встроенные в ботнет. Помимо шифрования общения с C2 с помощью XOR-операции (что и дало ботнету имя XorBot), вредоносная программа содержит логику для определения и избегания IP-адресов, принадлежащих государственным структурам, например, Министерству обороны США. Обнаруженная в скрипте насмешка над ловушками также указывает на то, что оператор активно пытается идентифицировать и обходить исследовательские и мониторинговые системы. Инфраструктура злоумышленника включает в себя не только основные серверы, но и домены для типосквоттинга, например, hotemail[.]asia, имитирующий название популярного почтового сервиса Hotmail.

Использование одного хостинг-провайдера для разной вредоносной инфраструктуры, привязка доменов к публичным репозиториям на GitHub и использование реального имени в коде - все это создало цепочку атрибуции. Для специалистов по информационной безопасности этот инцидент подчеркивает важность перекрестного анализа угроз. Угроза, первоначально классифицированная как DDoS-ботнет, оказалась частью более широкого спектра преступной деятельности, включающей финансовое мошенничество. Мониторинг сетевой активности на предмет подключений к указанным IP-адресам и доменам, а также поиск характерных строк в памяти устройств могут помочь в обнаружении этой угрозы. В свою очередь, для владельцев устройств IoT критически важным остается своевременное обновление прошивок, изменение стандартных учетных данных и сегментация сетей, чтобы минимизировать риск попадания в подобные ботнеты.

IPv4

• 45.153.34.252
• 85.11.167.180
• 85.11.167.182
• 85.11.167.194

Domains

• blackmirror.hotemail.asia
• easyfor.me
• havocnodes.lol
• hotemail.asia
• log.easyfor.me
• relay.hotemail.asia
• shopanatolia.com