В августе 2024 года специалисты по кибербезопасности обнаружили новую угрозу — ботнет HTTPBot, который принципиально меняет подход к DDoS-атакам. В отличие от традиционных ботнетов, HTTPBot нацелен на Windows-системы и использует «хирургически точные» методы для поражения критически важных бизнес-интерфейсов.
Основными мишенями HTTPBot стали игровая индустрия, технологические компании, образовательные учреждения и туристические порталы Китая. Особенность этого ботнета заключается в его стратегии: вместо массированных атак на всю инфраструктуру, он точечно блокирует наиболее ценные бизнес-процессы — системы авторизации и платежные шлюзы игровых сервисов.
С апреля 2025 года зафиксировано более 200 атак с использованием HTTPBot. Эксперты отмечают принципиальное изменение подхода: от «неизбирательного подавления трафика» к «высокоточному удушению бизнес-процессов». Такая стратегия позволяет достигать максимального урона при минимальных затратах ресурсов.
Написанный на языке Golang, HTTPBot обладает продвинутыми механизмами маскировки. Он скрывает графический интерфейс, чтобы избежать обнаружения в мониторинге процессов, и манипулирует реестром Windows для обеспечения автозапуска после перезагрузки системы.
Технический арсенал HTTPBot включает шесть специализированных модулей атаки. BrowserAttack использует скрытые экземпляры Chrome для имитации легитимного трафика. HttpAutoAttack применяет куки для симуляции законных сессий пользователей. HttpFpDlAttack задействует протокол HTTP/2 для увеличения нагрузки на CPU серверов. WebSocketAttack эксплуатирует протоколы "ws://" и "wss://". PostAttack принудительно использует HTTP POST для атак, а CookieAttack дополняет метод BrowserAttack обработкой куки.
Особую опасность представляют методы обхода защиты, применяемые HTTPBot. Ботнет глубоко симулирует протокольные уровни, имитирует поведение легитимных браузеров и обходит традиционные системы обнаружения на основе правил. Использование случайных путей URL, динамическое пополнение куки и обфускация характеристик делают его чрезвычайно трудным для обнаружения.
Исследование HTTPBot было опубликовано компанией NSFOCUS — китайской организацией по кибербезопасности со штаб-квартирой в Пекине. Эксперты подчеркивают, что появление подобных высокоточных инструментов атаки требует пересмотра традиционных подходов к защите цифровой инфраструктуры, особенно для бизнес-критичных систем.
Изображение носит иллюстративный характер
Основными мишенями HTTPBot стали игровая индустрия, технологические компании, образовательные учреждения и туристические порталы Китая. Особенность этого ботнета заключается в его стратегии: вместо массированных атак на всю инфраструктуру, он точечно блокирует наиболее ценные бизнес-процессы — системы авторизации и платежные шлюзы игровых сервисов.
С апреля 2025 года зафиксировано более 200 атак с использованием HTTPBot. Эксперты отмечают принципиальное изменение подхода: от «неизбирательного подавления трафика» к «высокоточному удушению бизнес-процессов». Такая стратегия позволяет достигать максимального урона при минимальных затратах ресурсов.
Написанный на языке Golang, HTTPBot обладает продвинутыми механизмами маскировки. Он скрывает графический интерфейс, чтобы избежать обнаружения в мониторинге процессов, и манипулирует реестром Windows для обеспечения автозапуска после перезагрузки системы.
Технический арсенал HTTPBot включает шесть специализированных модулей атаки. BrowserAttack использует скрытые экземпляры Chrome для имитации легитимного трафика. HttpAutoAttack применяет куки для симуляции законных сессий пользователей. HttpFpDlAttack задействует протокол HTTP/2 для увеличения нагрузки на CPU серверов. WebSocketAttack эксплуатирует протоколы "ws://" и "wss://". PostAttack принудительно использует HTTP POST для атак, а CookieAttack дополняет метод BrowserAttack обработкой куки.
Особую опасность представляют методы обхода защиты, применяемые HTTPBot. Ботнет глубоко симулирует протокольные уровни, имитирует поведение легитимных браузеров и обходит традиционные системы обнаружения на основе правил. Использование случайных путей URL, динамическое пополнение куки и обфускация характеристик делают его чрезвычайно трудным для обнаружения.
Исследование HTTPBot было опубликовано компанией NSFOCUS — китайской организацией по кибербезопасности со штаб-квартирой в Пекине. Эксперты подчеркивают, что появление подобных высокоточных инструментов атаки требует пересмотра традиционных подходов к защите цифровой инфраструктуры, особенно для бизнес-критичных систем.
