Οι απειλητικοί φορείς πίσω από το εργαλείο επίθεσης DDoSia δημιούργησαν μια νέα έκδοση που ενσωματώνει έναν νέο μηχανισμό για την ανάκτηση της λίστας των στόχων που θα βομβαρδιστούν με ανεπιθύμητα αιτήματα HTTP σε μια προσπάθεια να τους καταρρίψουν.
Δείτε επίσης: Οι χάκερ ψάχνουν τα πιθανά θηράματα στα social media
Η ενημερωμένη παραλλαγή, γραμμένη σε Golang, “εφαρμόζει έναν πρόσθετο μηχανισμό ασφαλείας για να αποκρύψει τη λίστα των στόχων που μεταδίδεται από το [command-and-control] στους χρήστες”, δήλωσε η εταιρεία κυβερνοασφάλειας Sekoia σε μια τεχνική αναφορά.
Το εργαλείο DDoSia αποδίδεται σε μια φιλορωσική ομάδα που ονομάζεται NoName(057)16. Ξεκίνησε το 2022, είναι διάδοχος του botnet Bobik και έχει σχεδιαστεί για τη διοργάνωση επιθέσεων distributed denial-of-service (DDoS) εναντίον στόχων που βρίσκονται κυρίως στην Ευρώπη, καθώς και στην Αυστραλία, τον Καναδά και την Ιαπωνία.
Windows 10 τέλος, απομένει μόλις ένας χρόνος υποστήριξης
Κομήτης θα κάνει μια θεαματική προσέγγιση τον Οκτώβριο
Εκτόξευση του Europa Clipper για ανίχνευση ζωής στην Ευρώπη!
Δείτε επίσης: Neo_Net: Στοχεύει τράπεζες παγκόσμια με Android malware!
Η Λιθουανία, η Ουκρανία, η Πολωνία, η Ιταλία, η Τσεχία, η Δανία, η Λετονία, η Γαλλία, το Ηνωμένο Βασίλειο και η Ελβετία αναδείχθηκαν ως οι χώρες που αποτελούν τον μεγαλύτερο στόχο για την περίοδο από τις 8 Μαΐου έως τις 26 Ιουνίου 2023. Συνολικά επηρεάστηκαν 486 διαφορετικοί ιστότοποι.
Μέχρι σήμερα έχουν ανακαλυφθεί υλοποιήσεις του DDoSia σε Python και Go, καθιστώντας το ένα πρόγραμμα πολλαπλών πλατφορμών ικανό να χρησιμοποιηθεί σε συστήματα Windows, Linux και macOS.
Το DDoSia διανέμεται μέσω μιας πλήρως αυτοματοποιημένης διαδικασίας στο Telegram, επιτρέποντας σε άτομα να εγγραφούν στο crowdsourced initiative με αντάλλαγμα την πληρωμή σε κρυπτονόμισμα και ένα αρχείο ZIP που περιέχει την εργαλειοθήκη επίθεσης.
Αυτό που είναι αξιοσημείωτο στη νέα έκδοση είναι η χρήση κρυπτογράφησης για τη συγκάλυψη του καταλόγου των στόχων προς επίθεση, γεγονός που υποδηλώνει ότι το εργαλείο συντηρείται ενεργά από τους χειριστές του.
“Ο απειλητικός παράγοντας NoName057(16) καταβάλλει προσπάθειες για να κάνει το κακόβουλο λογισμικό του συμβατό με πολλά λειτουργικά συστήματα, γεγονός που σχεδόν σίγουρα αντανακλά την πρόθεσή του να καταστήσει το κακόβουλο λογισμικό του διαθέσιμο σε μεγάλο αριθμό χρηστών – με αποτέλεσμα να στοχεύει σε ένα ευρύτερο σύνολο θυμάτων“, δήλωσε ο Sekoia.
Η εξέλιξη αυτή έρχεται την ώρα που ο αμερικανικός Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) έχει προειδοποιήσει για στοχευμένες επιθέσεις denial-of-service (DoS) και DDoS εναντίον πολλών οργανισμών σε πολλούς τομείς.
“Αυτές οι επιθέσεις μπορούν να κοστίσουν χρόνο και χρήμα σε έναν οργανισμό και μπορεί να προκαλέσουν κόστος για τη φήμη του, ενώ οι πόροι και οι υπηρεσίες είναι απρόσιτες”, αναφέρει ο οργανισμός σε ένα δελτίο.
Αν και η CISA δεν παρείχε πρόσθετες λεπτομέρειες, η προειδοποίηση συμπίπτει με τους ισχυρισμούς της Anonymous Sudan στο κανάλι Telegram της ότι είχε καταργήσει τους ιστότοπους του Υπουργείου Εμπορίου, της Διοίκησης Κοινωνικής Ασφάλισης (SSA) και του Ηλεκτρονικού Ομοσπονδιακού Συστήματος Πληρωμών Φόρων του Υπουργείου Οικονομικών (EFTPS).
Τον περασμένο μήνα, οι Anonymous Sudan τράβηξαν την προσοχή για την πραγματοποίηση επιθέσεων DDoS επιπέδου 7 εναντίον διαφόρων υπηρεσιών της Microsoft, όπως το OneDrive, το Outlook και οι διαδικτυακές πύλες Azure. Ο τεχνολογικός γίγαντας παρακολουθεί αυτό το σύμπλεγμα με το όνομα Storm-1359.
Δείτε επίσης: 2023: 33 νοσοκομεία στις ΗΠΑ έχουν υποστεί επίθεση ransomware
Η ομάδα hacking έχει υποστηρίξει ότι διεξάγει κυβερνοεπιθέσεις έξω από την Αφρική για λογαριασμό των καταπιεσμένων μουσουλμάνων σε όλο τον κόσμο. Ωστόσο, οι ερευνητές κυβερνοασφάλειας πιστεύουν ότι πρόκειται για μια επιχείρηση υπέρ του Κρεμλίνου χωρίς δεσμούς με το Σουδάν και μέλος της συλλογικότητας χακτιβιστών KillNet.
Σε μια ανάλυση που δημοσιεύθηκε στις 19 Ιουνίου 2023, ο αυστραλιανός προμηθευτής κυβερνοασφάλειας CyberCX χαρακτήρισε την οντότητα ως “προπέτασμα καπνού για ρωσικά συμφέροντα”. Έκτοτε, ο ιστότοπος της εταιρείας έχει καταστεί μη προσβάσιμος και υποδέχεται τους επισκέπτες με το μήνυμα “403 Forbidden”. Ο απειλητικός φορέας ανέλαβε την ευθύνη για την κυβερνοεπίθεση.
Οι Anonymous Sudan, σε ρεπορτάζ του Bloomberg την περασμένη εβδομάδα, αρνήθηκαν περαιτέρω ότι συνδέονται με τη Ρωσία, αλλά αναγνώρισαν ότι μοιράζονται παρόμοια συμφέροντα και ότι καταδιώκουν «όλα όσα είναι εχθρικά προς το Ισλάμ».
Η τελευταία συμβουλή της CISA δεν πέρασε απαρατήρητη- η ομάδα δημοσίευσε μια απάντηση στις 30 Ιουνίου 2023, δηλώνοντας: “Μια μικρή σουδανική ομάδα με περιορισμένες δυνατότητες ανάγκασε την “ισχυρότερη κυβέρνηση” στον κόσμο να δημοσιεύσει άρθρα και tweets για τις επιθέσεις μας”.
Πηγή πληροφοριών: thehackernews.com