Как создаются обширные вредоносные сети на десятки тысяч IoT-девайсов?
Компания Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся новую кампанию киберугроз, в рамках которой группа Water Barghest превращает тысячи уязвимых IoT -устройств в прокси-сети всего за несколько минут после их компрометации. С 2020 года злоумышленники заразили более 20 000 устройств, используя автоматизированные инструменты для быстрого масштабирования своих действий.
Как уточняет Trend Micro, процесс от изначального заражения до размещения скомпрометированного устройства на прокси-маркетплейсе занимает менее 10 минут. Эти прокси предлагают другим киберпреступникам и группам, включая государственные, анонимизацию с географически правдоподобными IP-адресами для атак и доступа к украденным данным.
Кампания Water Barghest была обнаружена после ликвидации инфраструктуры ботнета Pawn Storm, известного также как APT28, американским ФБР в январе. В ходе своего расследования специалисты Trend Micro произвели анализ захваченных устройств EdgeRouter, что позволило выявить ботнет Ngioweb, используемый Water Barghest.
Ngioweb впервые был замечен в 2017 году, тогда как в текущей кампании применяется обновлённая версия вредоносного ПО, нацеленная на устройства EdgeRouter, Cisco, DrayTek, Fritz!Box и Linksys, преимущественно в США. Взлом начинается с поиска уязвимостей через базы данных, такие как Shodan, и последующей эксплуатации обнаруженных уязвимостей.
Вредоносное ПО запускается в оперативной памяти устройств, что делает его непостоянным — перезагрузка гаджета устраняет заражение. После установки программа соединяется с серверами управления для тестирования соединения, а затем устройство автоматически добавляется на вышеупомянутый прокси-маркетплейс.
Несмотря на действия правоохранительных органов против подобных сетей, таких как VPNFilter и Cyclops Blink, специалисты Trend Micro предупреждают, что IoT-устройства, доступные для подключений из интернета, всё ещё остаются уязвимыми. Высокий спрос на прокси-услуги среди кибергрупп предполагает продолжение подобных атак.
Trend Micro рекомендует минимизировать экспонирование IoT-устройств в интернет и внедрять дополнительные меры защиты, чтобы предотвратить их использование в таких кампаниях.
Компания Trend Micro Для просмотра ссылки Войди
Как уточняет Trend Micro, процесс от изначального заражения до размещения скомпрометированного устройства на прокси-маркетплейсе занимает менее 10 минут. Эти прокси предлагают другим киберпреступникам и группам, включая государственные, анонимизацию с географически правдоподобными IP-адресами для атак и доступа к украденным данным.
Кампания Water Barghest была обнаружена после ликвидации инфраструктуры ботнета Pawn Storm, известного также как APT28, американским ФБР в январе. В ходе своего расследования специалисты Trend Micro произвели анализ захваченных устройств EdgeRouter, что позволило выявить ботнет Ngioweb, используемый Water Barghest.
Ngioweb впервые был замечен в 2017 году, тогда как в текущей кампании применяется обновлённая версия вредоносного ПО, нацеленная на устройства EdgeRouter, Cisco, DrayTek, Fritz!Box и Linksys, преимущественно в США. Взлом начинается с поиска уязвимостей через базы данных, такие как Shodan, и последующей эксплуатации обнаруженных уязвимостей.
Вредоносное ПО запускается в оперативной памяти устройств, что делает его непостоянным — перезагрузка гаджета устраняет заражение. После установки программа соединяется с серверами управления для тестирования соединения, а затем устройство автоматически добавляется на вышеупомянутый прокси-маркетплейс.
Несмотря на действия правоохранительных органов против подобных сетей, таких как VPNFilter и Cyclops Blink, специалисты Trend Micro предупреждают, что IoT-устройства, доступные для подключений из интернета, всё ещё остаются уязвимыми. Высокий спрос на прокси-услуги среди кибергрупп предполагает продолжение подобных атак.
Trend Micro рекомендует минимизировать экспонирование IoT-устройств в интернет и внедрять дополнительные меры защиты, чтобы предотвратить их использование в таких кампаниях.
- Источник новости
- www.securitylab.ru