Недавно обнаруженное вредоносное ПО для ботнета под названием KadNap нацелено на маршрутизаторы ASUS и другие периферийные сетевые устройства, превращая их в прокси-серверы для вредоносного трафика.
С августа 2025 года KadNap вырос до 14 000 устройств, которые являются частью пиринговой сети и подключаются к инфраструктуре командно-контрольного центра (C2) через настраиваемую версию протокола Kademlia Distributed Hash Table (DHT).
Это затрудняет идентификацию и пресечение деятельности C2-серверов, поскольку информация децентрализована, и каждый узел управляет подмножеством полных данных.
По данным исследователей из Black Lotus Labs, подразделения по исследованию угроз и операциям Lumen Technologies, почти половина сети KadNap подключена к инфраструктуре C2, предназначенной для ботов на базе ASUS, а остальные обмениваются данными с двумя отдельными управляющими серверами.
Большинство зараженных устройств находится в Соединенных Штатах, на которые приходится 60% от общего числа, за ними следуют значительные доли на Тайване, в Гонконге и России.
Коммуникация на основе Kademlia
Заражение KadNap начинается со скачивания вредоносного скрипта (aic.sh) с адреса 212.104.141[.]140, который обеспечивает постоянство через задание cron, запускаемое каждые 55 минут. Полезная нагрузка представляет собой ELF-бинарный файл с именем kad, который устанавливает клиент KadNap.
После активации вредоносное ПО определяет внешний IP-адрес хоста и обращается к нескольким серверам протокола сетевого времени (NTP) для получения текущего времени и времени работы системы.
Для уклонения и устойчивости к выводу из строя KadNap использует модифицированный протокол DHT на основе Kademlia для поиска узлов ботнета и инфраструктуры C2.
«KadNap использует настраиваемую версию протокола Kademlia Distributed Hash Table (DHT), который применяется для сокрытия IP-адреса их инфраструктуры в пиринговой системе, чтобы избежать традиционного сетевого мониторинга», — объясняют исследователи.
«Зараженные устройства используют протокол DHT для поиска и подключения к серверу командно-контрольного центра (C2), в то время как защитникам непросто найти эти C2 и добавить их в списки угроз».
Исследователи обнаружили, что реализация Kademlia в KanNap имеет уязвимость, связанную с постоянным подключением к двум конкретным узлам, которое происходит до достижения C2-серверов. Это снижает децентрализацию, которую протокол мог бы обеспечить в идеальных случаях, и позволяет идентифицировать управляющую инфраструктуру.
Монетизация KadNap
Исследователи Black Lotus Labs сообщают, что ботнет KadNap связан с прокси-сервисом Doppelganger, который, как полагают, является ребрендингом сервиса Faceless, ранее связанного с ботнетом вредоносного ПО TheMoon, который также нацеливался на маршрутизаторы ASUS (https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/).
Doppelganger продает доступ к зараженным устройствам в качестве резидентных прокси, которые могут использоваться для перенаправления вредоносного трафика, создания слоев псевдонимизации и обхода списков блокировки.
Поскольку такие сервисы обычно используются для запуска распределенных атак типа «отказ в обслуживании» (DDoS), атак с подстановкой учетных данных и атак методом перебора, все это в конечном итоге приводит к жертвам KadNap.
Lumen предприняла упреждающие меры против ботнета KadNap. Компания заявляет, что на момент публикации этой статьи она «заблокировала весь сетевой трафик к инфраструктуре управления или от нее».
Пресечение затронуло только сеть Lumen, и список индикаторов компрометации будет выпущен, чтобы помочь другим пресечь деятельность ботнета на своей стороне.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
