DDoSia-malware bijgewerkt, versleuteling toegevoegd

Volgens cyberbeveiligingsbedrijf Sekoia hebben de makers van de DDoSia-aanvalstool een nieuwe versie geïntroduceerd die een andere methode bevat voor het verkrijgen van de lijst met doelen die moeten worden gebombardeerd met ongewenste HTTP-verzoeken. De bijgewerkte variant, geschreven in Golang, bevat een extra beveiligingsmaatregel om de verzonden lijst met doelen te verbergen voor de commando-en-controle voor de gebruikers.

Sekoia zei dat DDoSia wordt toegeschreven aan een pro-Russische hackergroep die bekend staat als NoName(057)16. DDoSia, oorspronkelijk gelanceerd in 2022 als opvolger van het Bobik-botnet, is ontworpen om gedistribueerde denial-of-service-aanvallen uit te voeren, voornamelijk gericht op locaties in Europa, Australië, Canada en Japan.

Aanvallen zomer 2023 gericht op Europese landen

In de periode tussen 8 mei en 26 juni 2023 waren Litouwen, Oekraïne, Polen, Italië, Tsjechië, Denemarken, Letland, Frankrijk, het VK en Zwitserland de meest door DDoSia-aanvallen getroffen landen. In totaal hebben 486 verschillende websites de impact ervaren.

DDoSia is geïmplementeerd in Python en Go, waardoor het een platformonafhankelijk programma is dat kan werken op Windows-, Linux- en macOS-systemen. SentinelOne beschreef in een analyse die in januari 2023 werd gepubliceerd, DDoSia als een toepassing met meerdere threads die denial-of-service-aanvallen uitvoert door herhaaldelijk netwerkverzoeken te verzenden op basis van instructies die zijn ontvangen van een configuratiebestand dat is verkregen van een C2-server.

De distributie van DDoSia vindt plaats via een geautomatiseerd proces op Telegram, waar individuen zich kunnen registreren voor het crowdsourced-initiatief door een cryptocurrency-betaling te doen en een ZIP-archief met de aanvalstoolkit te ontvangen.

Het opvallende aspect van de nieuwe versie is het gebruik van codering om de lijst met aan te vallen doelen te verdoezelen, wat suggereert dat de operators de tool actief onderhouden.

Waarom is Golang een populair hulpmiddel geworden onder malware-ontwikkelaars?

Golang, ook wel Go genoemd, is door verschillende factoren populair geworden als programmeertaal voor het ontwikkelen van malware. Hier is een geparafraseerde reactie:

Golang, of Go, is om verschillende redenen een populaire keuze geworden voor het ontwikkelen van malware. Ten eerste biedt Go een schone en beknopte syntaxis die gemakkelijk te begrijpen en te schrijven is, waardoor het een aantrekkelijke optie is voor ontwikkelaars, ook voor ontwikkelaars met kwaadaardige bedoelingen. De eenvoud en efficiëntie maken een snelle ontwikkeling en implementatie van malware mogelijk.

Bovendien biedt Go ingebouwde functies die bijdragen aan de stealth en veerkracht van malware. Het biedt bijvoorbeeld sterke ondersteuning voor concurrency, waardoor malware meerdere taken tegelijk kan uitvoeren, waardoor het moeilijker wordt om te detecteren en te beperken. Go biedt ook robuuste netwerkmogelijkheden, die essentieel zijn voor malware om te communiceren met command-and-control-servers of om verschillende kwaadaardige activiteiten uit te voeren.

Een andere factor die bijdraagt aan de populariteit van Go bij de ontwikkeling van malware, is de mogelijkheid om te compileren tot zelfstandige binaire bestanden. Dit betekent dat malware die in Go is geschreven geen externe afhankelijkheden of runtime-omgevingen vereist, waardoor het meer draagbaar en gemakkelijker te verspreiden is over verschillende besturingssystemen zonder compatibiliteitsproblemen.