XorDDoS — один из самых устойчивых и эволюционирующих троянов для организации DDoS-атак, который на протяжении более десяти лет угрожает интернет-инфраструктуре по всему миру. С ноября 2023 года по февраль 2025 года 71,3% всех зафиксированных атак XorDDoS были направлены против США, что свидетельствует о прицельной активности злоумышленников.
По данным исследователя Cisco Talos Джои Чена, период с 2020 по 2023 год ознаменовался значительным ростом распространённости XorDDoS. Основными факторами стали глобальная дистрибуция и увеличение числа вредоносных DNS-запросов, связанных с управляющей инфраструктурой команд и контроля (C2) ботнета.
Изначально XorDDoS атаковал преимущественно открытые Linux-системы, однако теперь его мишенью стали и серверы Docker. Заражённые машины превращаются в управляемых ботов, выполняющих команды операторов ботнета, что значительно расширяет сферу действия вредоносного ПО.
XorDDoS проявляет активность с начала 2010-х годов, нацеленную в первую очередь на Linux-серверы. В мае 2022 года Microsoft зафиксировала резкий всплеск атак XorDDoS, который привёл к массовым заражениям криптомайнинг-малварью, такой как Tsunami.
Основной метод проникновения XorDDoS — атаки перебором SSH-учётных данных. Получив доступ к системе, вредонос загружает и устанавливает себя на уязвимые IoT-устройства и другие подключённые к интернету системы. Для обеспечения устойчивости XorDDoS внедряет в систему скрипт и прописывает задачу в планировщике cron, чтобы запускаться автоматически при каждом старте устройства.
Для дешифровки своей внутренней конфигурации и извлечения IP-адресов управляющих серверов XorDDoS использует XOR-ключ "BB2FA36AAA9541F0", что затрудняет анализ и противодействие угрозе.
В 2024 году специалисты Cisco Talos зафиксировали появление новой версии XorDDoS с так называемым VIP-субконтроллером, а также сопутствующим центральным контроллером и билдером. По мнению экспертов, такой "продукт" может распространяться на теневых площадках в коммерческих целях, что увеличивает риски его дальнейшего распространения и профессионализации.
Архитектура ботнета включает центральный контроллер, способный управлять несколькими субконтроллерами и отдавать команды для одновременных DDoS-атак. Каждый субконтроллер взаимодействует со своей группой заражённых устройств, образуя распределённую сеть ботов.
Лингвистический анализ настроек контроллеров, билдера и инструментов связывания однозначно указывает на операторов, владеющих китайским языком. По словам Джои Чена, это даёт основания предполагать, что значительная часть инфраструктуры и дальнейшее развитие XorDDoS контролируется китайскоязычными группами.
Текущее поколение XorDDoS отличается не только широтой охвата платформ — от Linux до Docker и IoT, — но и высокой степенью автоматизации, устойчивости и коммерциализации. Угрозы от этого ботнета продолжают расти, а его инфраструктура становится всё более сложной и опасной для глобальной кибербезопасности.
Изображение носит иллюстративный характер
По данным исследователя Cisco Talos Джои Чена, период с 2020 по 2023 год ознаменовался значительным ростом распространённости XorDDoS. Основными факторами стали глобальная дистрибуция и увеличение числа вредоносных DNS-запросов, связанных с управляющей инфраструктурой команд и контроля (C2) ботнета.
Изначально XorDDoS атаковал преимущественно открытые Linux-системы, однако теперь его мишенью стали и серверы Docker. Заражённые машины превращаются в управляемых ботов, выполняющих команды операторов ботнета, что значительно расширяет сферу действия вредоносного ПО.
XorDDoS проявляет активность с начала 2010-х годов, нацеленную в первую очередь на Linux-серверы. В мае 2022 года Microsoft зафиксировала резкий всплеск атак XorDDoS, который привёл к массовым заражениям криптомайнинг-малварью, такой как Tsunami.
Основной метод проникновения XorDDoS — атаки перебором SSH-учётных данных. Получив доступ к системе, вредонос загружает и устанавливает себя на уязвимые IoT-устройства и другие подключённые к интернету системы. Для обеспечения устойчивости XorDDoS внедряет в систему скрипт и прописывает задачу в планировщике cron, чтобы запускаться автоматически при каждом старте устройства.
Для дешифровки своей внутренней конфигурации и извлечения IP-адресов управляющих серверов XorDDoS использует XOR-ключ "BB2FA36AAA9541F0", что затрудняет анализ и противодействие угрозе.
В 2024 году специалисты Cisco Talos зафиксировали появление новой версии XorDDoS с так называемым VIP-субконтроллером, а также сопутствующим центральным контроллером и билдером. По мнению экспертов, такой "продукт" может распространяться на теневых площадках в коммерческих целях, что увеличивает риски его дальнейшего распространения и профессионализации.
Архитектура ботнета включает центральный контроллер, способный управлять несколькими субконтроллерами и отдавать команды для одновременных DDoS-атак. Каждый субконтроллер взаимодействует со своей группой заражённых устройств, образуя распределённую сеть ботов.
Лингвистический анализ настроек контроллеров, билдера и инструментов связывания однозначно указывает на операторов, владеющих китайским языком. По словам Джои Чена, это даёт основания предполагать, что значительная часть инфраструктуры и дальнейшее развитие XorDDoS контролируется китайскоязычными группами.
Текущее поколение XorDDoS отличается не только широтой охвата платформ — от Linux до Docker и IoT, — но и высокой степенью автоматизации, устойчивости и коммерциализации. Угрозы от этого ботнета продолжают расти, а его инфраструктура становится всё более сложной и опасной для глобальной кибербезопасности.
