Vo1d Botnet IOC

В ноябре 2024 года исследователи из XLab обнаружили новый вариант ботнета Vo1d, который захватил контроль над миллионами устройств Android TV по всему миру. Ботнет Vo1d имеет гораздо большие масштабы, чем известные ботнеты, такие как Mirai, и может потенциально использоваться для масштабных кибератак или преступной деятельности. Он заразил около 1,6 миллиона устройств Android TV в разных странах и регионах.

Vo1d Botnet

Основная угроза, которую представляет Vo1d, это не только его мощность и способность организовать DDoS-атаки, но и его возможность использовать взломанные телевизоры и приставки для трансляции несанкционированного контента. Примеры таких случаев включают взлом телевизионных приставок в ОАЭ для показа видеороликов об израильско-палестинском конфликте и появление видео сгенерированных искусственным интеллектом, на которых Трамп целует пальцы ног Маска, на телевизорах в Министерстве жилищного строительства и городского развития США.

Угроза экономических и политических последствий от таких действий Vo1d является очень реальной. Ботнет Vo1d уже используется для мошенничества с рекламой и поддельного трафика, а также для создания анонимных прокси-сервисов. Прокси-сети являются одной из основных целей Vo1d и представляют высокую коммерческую ценность. Например, операторы прокси-сервиса 911S5 уже получили более 99 миллионов долларов прибыли от продажи таких услуг.

Новый вариант ботнета Vo1d представляет угрозу не только в основных функциях и возможностях, но и в своей эволюции. Он использует усовершенствованное шифрование и модернизированную инфраструктуру для обеспечения скрытности и защиты от обнаружения. Коммерческая и политическая значимость взломанных телевизоров и приставок, управляемых Vo1d, становится все более заметной, поскольку они могут использоваться для распространения несанкционированного контента, источником которого могут быть насилие, терроризм и политическая пропаганда с использованием технологии deepfake.

Indicators of Compromise

IPv4

• 128.1.71.243
• 13.229.152.241
• 156.236.118.27
• 156.236.118.48
• 3.132.75.97
• 3.146.93.253
• 38.46.218.36
• 38.46.218.37
• 38.46.218.38
• 38.46.218.39
• 38.61.8.11
• 38.61.8.12
• 38.61.8.13
• 38.61.8.14
• 38.61.8.31
• 38.61.8.33
• 69.28.62.38
• 69.28.62.39
• 69.28.62.41
• 69.28.62.42
• 69.28.62.48
• 69.28.62.49
• 69.28.62.50
• 69.28.62.51
• 69.28.62.52
• 69.28.62.60
• 69.28.62.61
• 8.219.89.234

IPv4 Port Combinations

• 38.46.218.36:9999

Domains

• adstat.ad3g.com
• adstat.moyu88.xyz
• adstat2.ziyemy.shop
• catmore23.com
• catmore88.com
• catmos99.com
• conannt.com
• csok997.com
• csskkjw.com
• dcsdk.100ulife.com
• dcsdkos.dc16888888.com
• g.sxim.me
• gmslb.net
• haveits.com
• install.sh
• jaguar-distributor.syslogcollector.com
• kyc-holdings.com
• lbk-sol.com
• linkmob.org
• peercon.org
• phonegrid.org
• phonemesh.org
• pxleo5fbca7141b5.com
• qocoll.com
• ref.sxim.me
• reg.sxim.me
• remoredo.com
• safernetwork.io
• sklstech.com
• snakeers.com
• spiritlib.cyou
• ssl87362.com
• ssl8rrs2.com
• synntre.com
• task.moyu88.xyz
• task.mymoyu.shop
• task1.ziyemy.shop
• task2.ziyemy.shop
• ttekf42.com
• ttss442.com
• update.ad3g.com
• works883.com
• works883.xyz
• wowokeys.com

Domain Port Combinations

• adstat.ziyemy.shop:3389
• ssl87362.com:9999

URLs

• http://dcsdk.100ulife.com/reportcompbin
• http://dcsdk.100ulife.com/sdkbin
• http://dcsdkos.dc16888888.com/reportcompbin
• http://dcsdkos.dc16888888.com/sdkbin
• http://jaguar-distributor.syslogcollector.com:12000/v1/agent/ctrl
• http://task.moyu88.xyz/cpc/api/proxy/origin
• http://task.moyu88.xyz/cpc/api/task
• http://task.moyu88.xyz/cpc/api/xml?productId=0
• https://dcsdk.100ulife.com/reportcompbin
• https://dcsdk.100ulife.com/sdkbin
• https://dcsdkos.dc16888888.com/reportcompbin
• https://dcsdkos.dc16888888.com/sdkbin
• https://lb.:5002/devicereg,

MD5

• 01a692df9deb5e8db620e4fb7e687836
• 0c454831bdb679bdd083c5a7cc785733
• 2d6d91c5988dcab2eb4dab1ec55cfbb9
• 2de1775908db39f3c4edbb7a7d99268d
• 30da72fda6d0f5e3972272332d7fc47b
• 456e14aa644bd31d85e0fe6f78d8fc15
• 47c5bf4fbce983c2182ba103d2773dff
• 4efa4566794d86e033c2362cad05f1f8
• 4f4d5e37feda9e9556c816c100e1de30
• 53493b07fe423b1dbdc789803cbac7c1
• 5701ee051f80e92c1efc5ad32f8401d3
• 6168dafc5a1d297cf33b26b65db315cc
• 68ec86a761233798142a6f483995f7e9
• 6bb3258b688f81dfd03128bccf18823b
• 9e116f9ad2ff072f02aa2ebd671582a5
• a07533a9504fff0756a8ba59ca0af4d6
• a774eb68f60621bfddd8db461d978c12
• b447aaf52c1efad388612f8220969c35
• b6d5c945d61a73641e710f357214f3e3
• bb6b9aec7d4bfa524c7c5117257e4d78
• d9126d936d505b9fa9a8278fda1daaae
• de252f9ac7624d723212e7e70972134d
• de8f69efdb29cdf5fd12dd7b74584696
• fc7dc3c5306d6a508023160953168a16