Дата публикации:
В начале апреля 2023 года на одном из корпоративных хостов был обнаружен по-дозрительный файл mhddos_proxy_linux_arm64 (MD5: 9e39f69350ad6599420bbd
66e2715fcb), загружаемый вместе с определенным Docker-контейнером. По открытым источникам стало понятно, что данный файл представляет из себя свободно распространяемый инструмент для осуществления распределённой атаки на отказ в обслужи-вании (DDoS), направленный против российской ИТ-инфраструктуры. После запуска программа получает все необходимые настройки и автоматически инициирует массированные сетевые подключения к целевым хостам на различных уровнях TCP/IP для осуществления отказа в обслуживании.
Так как данная программа не является вредоносной в привычном для антивирусных продуктов смысле – не осуществляет закрепления и самораспространения, не пытается скрыть своего присутствия на устройстве, и на текущий момент не используется для управления устройством или похищения информации с него – ни один антивирус не считает этот файл вредоносным и не пытается предотвратить его выполнения. А ведь в отличие от обычного вредоноса выполнение такой программы приводит к непредумышленному участию в действиях, наказуемых по законодательству РФ, что может быть критичнее, чем компрометация личного устройства или корпоративной сети.
Данный инструмент был проанализирован с целью выявления точного списка его целей, а также возможных индикаторов присутствия на устройстве. Материал будет полезен для специалистов по ИБ/ИТ, а также для всех интересующихся внутренним устройством языка Python и обфускацией ПО. Помимо исследования предоставляется список целей, извлеченный из внутренней конфигурации инструмента.
Скачать исследование (.pdf, 6 MB)
За дополнительной информацией можно обратиться к специалистам Центра мониторинга и реагирования UserGate: mrc@usergate.com.