Новая кампания вредоносного ПО, получившая внимание экспертов Cyble Research and Intelligence Labs, выявила сложный Linux-ботнет LunoBotnet, ориентированный на долгосрочную монетизацию и гибкость в предоставлении вредоносных услуг. В основе ботнета — устойчивая архитектура управления LunoC2, обеспечивающая самовосстановление процессов и защиту от административного вмешательства.
Ключевые особенности угрозы
- Двойная функциональность: майнинг криптовалют и платформа для DDoS-атак.
- Модульная архитектура: разделение функций и возможность гибкой конфигурации под задачи оператора.
- Устойчивость и самовосстановление: сторожевые процессы с бесконечным циклом, маскировка под системные процессы и защита от сигналов завершения.
- Преднастроенные сценарии атак: шаблоны под популярные игровые платформы — Roblox и Minecraft, что указывает на коммерческую модель (RaaS/for-hire).
- Надежный C2: механизмы failover для поддержания связи даже при сбоях DNS.
- Криптоджекинг: автоматическая загрузка майнера XMRig с использованием curl.
«LunoBotnet работает в двойном качестве, выступая как в качестве майнера криптовалют, так и в качестве платформы для DDoS-атак как услуги.»
Архитектура и механизмы устойчивости
LunoC2 — это центральный компонент, обеспечивающий постоянство работы ботнета. Вредонос использует сторожевые процессы, которые работают в бесконечном цикле: при завершении одного процесса автоматически запускается другой, что усложняет удаление и увеличение времени простоя для операционных команд по реагированию. Процессы ботнета маскируются под легитимные системные имена, а механизм завершающего контроля устойчив к стандартным сигналам ОС, что предотвращает простое административное завершение.
Кроме того, malware отслеживает системные ресурсы и занимается агрессивным контролем сокетов: оно завершает процессы, пытающиеся использовать назначенные ботнету сокеты, если эти процессы не входят в предопределённый белый список. Наличие большого числа включённых в белый список системных процессов указывает на продуманную стратегию избегания обнаружения.
Майнинг и криптоджекинг
Аспект криптоджекинга реализован через загрузку и запуск майнера XMRig. Экзекуция загрузки осуществляется автоматически при помощи curl, что делает заражение быстрым и мало заметным при отсутствии мониторинга исходящих соединений. Такой подход позволяет злоумышленникам незаметно использовать вычислительные ресурсы заражённых хостов для генерации криптовалюты.
DDoS-as-a-service и таргетированные атаки
Возможности DDoS у LunoBotnet достаточно широки и настраиваемы: операторы могут задавать цели, методы атак и эксплуатационные параметры. Примечательно наличие предопределённых процедур для атак на игровые платформы Roblox и Minecraft — это явный сигнал о коммерческом использовании ботнета в качестве сервиса по найму (RaaS).
Командно‑управляющая инфраструктура (C2)
Система управления вредоносным ПО использует механизмы отработки отказа, что обеспечивает сохранение связи с управляющим сервером даже при проблемах с разрешением DNS. Такая отказоустойчивость делает блокировку и нейтрализацию C2-инфраструктуры более сложной задачей для специалистов по инцидент-реагированию.
Рекомендации по защите и реагированию
- Контролировать исходящий трафик и блокировать подозрительные соединения, в том числе обращения к неизвестным доменам и IP, используемым для C2.
- Запретить или ограничить использование утилит вроде curl в средах, где они не требуются, и мониторить их запуск.
- Отслеживать запуск неизвестных процессов и маскировку под системные имена; внедрить поведенческий мониторинг процессов.
- Проводить регулярный аудит сокетов и сетевых портов; выявлять аномальные прослушивания и конфликтующие соединения.
- Обновлять системы и устанавливать EDR/AV-решения с поддержкой обнаружения майнеров (например, XMRig) и DDoS-модулей.
- Изолировать инфицированные хосты, собирать артефакты для дальнейшего анализа и очистки, восстанавливать из надежных резервных копий.
- Информировать команды игровых платформ и провайдеров при обнаружении целевых атак на Roblox или Minecraft.
Выводы
LunoBotnet представляет собой эволюцию угроз: сочетание устойчивой модульной архитектуры, механизмов самовосстановления и коммерческой модели делает его серьёзной опасностью для организаций и частных пользователей. Наличие специализированных модулей под игровые платформы и надежный C2 свидетельствуют о том, что операторы стремятся к окупаемости и масштабируемости. Внимательный мониторинг, сегментация сети и оперативное реагирование — ключевые меры для уменьшения риска и снижения воздействия этой угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "LunoBotnet: модульный Linux-ботнет для майнинга и DDoS".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.