Возрождение IoT-угроз: как ботнет «Gayfemboy» на базе Mirai атакует устройства по всему миру

Изначально обнаруженный китайской компанией по кибербезопасности, «Gayfemboy» в новой волне атак нацелился на уязвимости в оборудовании таких производителей, как DrayTek, TP-Link, Raisecom и Cisco. Злоумышленники использовали единый источник атак - IP-адрес 87[.]121[.]84[.]34, а для загрузки вредоносных скриптов - хост 220[.]158[.]234[.]135. Это указывает на скоординированность и продуманность кампании.

Особенностью «Gayfemboy» является его способность адаптироваться и избегать обнаружения. Например, в отличие от многих вариантов Mirai и Gafgyt, которые используют стандартные имена архитектур Linux, этот ботнет присваивает файлам уникальные имена, такие как «a4le» для ARM или «xale» для x86-64. Это усложняет его идентификацию системами защиты.

Для анализа был выбран вариант «xale1», предназначенный для архитектуры x86-64. Исследование показало, что вредоносная программа упакована с помощью UPX, но с модифицированным заголовком, который заменяет стандартную последовательность «UPX!» на шестнадцатеричное значение «10 F0 00 00». Это классический метод обфускации, направленный на затруднение анализа.

При запуске «Gayfemboy» отображает строку «twinks :3», что может быть как своеобразной подписью авторов, так и отвлекающим маневром. Затем malware сканирует подкаталоги /proc/[PID]/ для сбора информации о запущенных процессах и их исполняемых файлах. Если обнаруживаются ключевые слова, связанные с другими вредоносными программами (например, /tmp/, /bot., dvrlocker), «Gayfemboy» немедленно завершает соответствующие процессы, устраняя конкурентов.

Функциональность ботнета включает четыре основные компонента: Monitor, Watchdog, Attacker и Killer. Monitor отслеживает потоки и процессы, используя анти-аналитические техники. Он загружает в память 47 командных строк (включая такие распространенные утилиты, как wget, curl, ping) и при обнаружении совпадения завершает процесс.

• Monitor обеспечивает само-персистентность: если вредоносное ПО прекращает работу, он автоматически перезапускается. Для обхода песочниц используется задержка в 50 наносекунд: в средах, которые не могут корректно обработать такое малое время, malware переходит в режим ожидания на 27 часов.
• Watchdog функционирует как механизм контроля: он пытается привязаться к UDP-порту 47272. Если это не удается, он отправляет пакет с данными о временной метке и PID на localhost. После девяти неудачных попыток malware завершает работу, предполагая компрометацию.
• Attacker отвечает за DDoS-атаки и бэкдор-доступ. Поддерживаются различные методы атак: UDP flood, TCP flood, ICMP flood и другие. Для активации бэкдора используется строка «meowmeow». Важной особенностью является использование публичных DNS-серверов (1.1.1.1, 8.8.8.8) для разрешения доменных имен C2-серверов, что позволяет обходить локальные фильтры. Среди известных доменов - cross-compiling[.]org, i-kiss-boys[.]com, furry-femboys[.]top и другие.
  После установления соединения с C2-сервером «Gayfemboy» может получать команды длиной 4 или более байт. Короткие команды выполняют базовые операции, такие как сброс соединения или переход в спящий режим. Более длинные команды позволяют загружать и исполнять payload, открывать reverse shell, инициировать DDoS-атаки или изменять правила firewall.
• Killer обеспечивает самозащиту: он отслеживает системное время и завершает работу при обнаружении аномалий (например, сдвига на 24 часа), а также реагирует на команду ^kill^ от C2-сервера.

География атак «Gayfemboy» охватывает Бразилию, Мексику, США, Германию, Францию, Швейцарию, Израиль и Вьетнам. Среди целевых секторов - производство, технологии, строительство и медиакоммуникации. Это подчеркивает масштаб угрозы и необходимость срочных мер защиты.

Выводы аналитиков однозначны: «Gayfemboy» представляет собой эволюцию IoT-угроз. Он сочетает наследие Mirai с новыми техниками уклонения и persistence. Для противодействия таким угрозам необходимы не только регулярное обновление ПО и применение заплаток, но и глубокий анализ тактик злоумышленников, а также проактивные меры защиты. Осведомленность и готовность - ключевые факторы в борьбе с современными киберугрозами.

IPv4

• 141.11.62.222
• 149.50.96.114
• 220.158.234.135
• 5.182.204.251
• 5.182.206.7
• 78.31.250.15

Domains

• 3gipcam.com
• cross-compiling.org
• furry-femboys.top
• i-kiss-boys.com
• twinkfinder.nl

SHA256

• 01c0a184c145ee382174937bb891bff90b3d574ee0616f40b3eb3ccfb68ba786
• 05cfcef1273063c0c8b0eadf429e850471223bc2403a7cc943c252306d72e561
• 0672a9aebc7597eef44490f40c42e203d5ddfebc9300b62f38b0d1312a852235
• 08a4bd4758e4cbf39fff22a0cc5fb28d9bdd9944a0cd2120fdbe9222aaecbcf4
• 1940296f59fb5fb29f52e96044eca25946f849183ceda4feb03e816b79fbaa81
• 1b6deb5f47ebfe3a0cbb35751f3df6a893c6570cb7863c74e4262397edd6552e
• 228b3f006d63b8d75dcb8f66951cbf75e2a4ebdf13af9e2f47ad1c1a9b2e5753
• 26375b74e64d786ebc769cfd04e75eebec3b100da3637976e433a67ffa0cac79
• 269259e5c2df6b51719fd227fa90668dd8400d7da6c0e816a8e8e03f88e06026
• 282ada9a29a5f3144114373ef3c5826bcc8fb5018cd0f2ecb97d2a7bee1df296
• 2bfe2748bc594614dd03577053b58a5fb9fb8a6182fecc2025f1b715554d7fe1
• 2c758b1eac4fda920f90c459b773e7c3017e90f9049502b41d8b5391a8b61621
• 39fdef9339c75723d865481283f3d4566f78969743eef38061beddcbf5a2690d
• 400cc665fd3f23a6ca7a88c4c0f8cbb4f64b7a950786f202acc64623a8e452d7
• 47785b773808d7e1d2f1064b054e7e13b8b2ce9a35c68b926cd32c006c78f655
• 48d2c2c68fa0bd44eb70c1a6cf572406442b289fb6030e946f0530ce6f9fad98
• 493e33d9ade8781e93fe9cd982de42a8032d2fc6b07baf5b202e0761a0fbe89d
• 49b1a220b9a7450e151f19eec3da496b26799612811e512d138da88e0ee596bc
• 57861ee774b1ff56035f62e48590ce16246f484503bd0670c597ea102679d86b
• 58af5c340d271ac41f4a6009281466c7ad996b1a029a27b88f03e5ec6d95c54b
• 5a2d60ab5d281e0118603cc793f49f7e95a87de959a25bb3275c09ec8e8762e5
• 6ca219e62ca53b64e4fdf7bff5c43a53681ed010cbaa688fa12de85a8f3de5e7
• 728dbb47e10a245b612453b8f9aaf3fb125760691d5f0397b01da2190f2e9709
• 737a795bfb19059062ee2f0a7b2ea0e88283413e76d1b796782423006f3b2cdf
• 77df7c3d6d364474d411845fa185b196dcda437134f7093126a3f3bd145bdeee
• 7863ba5267cb187ba3892060f3868dca8b0dfae712649a650847e22d47ccb60a
• 7eee9ad9bb0154c8e60201f3dbfe3cff84692f95f0515c6c66fab7240e864b64
• 7fda54c9a489fea2dc8f7248d7bf72e1e356e47366478c0d5f4ba421dddf4ab7
• 82b221177f2e31052245d761e9aca47a511ae3ee9d6602ddb1f9b5be25745638
• 834d7c6bb4fd6b5da03e36fed96d7a828342d7e8bf27222b17f9f39bc6aaed80
• 87b6917034daa6f96f1f3813f88f2eb6d5e5c1b8f6b5b9ab337ab7065d4cb4c0
• 915ee7620406946b859dd4a00f9862d77fba8b452aebee5d94587e66c1085c88
• 92f9bcf6c55008c60013b75b49e143a1c9673e838efe0971490d19a241146fe5
• 9cc814ac2e15d1405fb4d35cb72d6341c0df8ae26741d1b08a243f236ef4f531
• 9f77b86621c7cec885ab89a3dcf0548a7ee17c8c88f66780dfc7dcb2a13da146
• ac14a60064081215f5a308ebeb6de69d67e6cb52ebb38d60fef99137fc1ea93a
• b03cf96cf2583ea45e4c13833e7201c2c55b96a4931a909925624913e9ad8d33
• b83b1484cf9dc6fe34a7d100c0ee582eaa2917f50bca1f7f9da7891698e3bedb
• b979fb79cf120f5d8789adb25fc016816c68e6d52bdc5749c817f4386e0c32da
• bba29011e0b51eb0907735933641c226f3441f79a8e49ab6047c1625dd0b5176
• bcdbeb7eeb64d6daf5aa6e13f1f70acfe057df50ec4773f434ffab684b78aead
• c3862c9b2d85c74dc5b2e38c600474e8df92677c064973b0a464a1aaa12f607e
• ca93203a9b795ffa66e5949e1ef643314bc3f3a3db4bed551ecd1c1e20b06089
• dd0c9a205b0c0f4c801c40e1663ca3989f9136e117d4dcb4f451474ceb67c3da
• e597b492a88f0524ea38121e6b8230d9515a82ea8ca28cdcc64413c33ed846c9
• e764413c5ed6a9dba0d69b95a15841fb9b867f7aab3be7600381547eb5c2c1ab
• e85291d70a144ebe2842aeba2c77029762ca8ebfd36008b7bb83cda3e5d5d99d
• ed3f85e537ada33c5f3b1f09b5df6e8b4345514e920f7e75fc0a6535b7e4a352
• f99b33bd086f9b331a0df40525a45326bb977fee5272111edaffbe4be56e78fa
• fbc42240f07235d3a0290f3e82a06ef4376e845973c146e423f8de4913a1cce4
• fed7a3cec01cad14d9a46804b43e64a8021e89d8d38a49a700cf8c2e0c2578f6