Киберугроза: Ботнет атакует устройства IoT и EoL

Киберугроза: Ботнет атакует устройства IoT и EoL

Источник: blog.lumen.com

Лаборатория Black Lotus Labs компании Lumen в партнерстве с Министерством юстиции и Национальной полицией Нидерландов высветила серьезную угрозу, исходящую от криминальной сети, существующей с 2004 года. Эта сеть отвечает за заражение множества устройств Интернета вещей (IoT) и устаревших устройств (EoL), формируя ботнет, который предоставляет анонимность злоумышленникам для совершения различных незаконных действий.

Ключевые факты о ботнете

  • В среднем 1000 уникальных ботов еженедельно подключаются к инфраструктуре командования и контроля (C2), преимущественно расположенной в Турции.
  • Наиболее пострадавшим регионом от атак является Соединенные Штаты.
  • Прокси-серверы предоставляют доступ без проверки подлинности, что позволяет широкому кругу злоумышленников быть анонимными.
  • Около 10% прокси-серверов помечаются как вредоносные обычными средствами обнаружения, такими как VirusTotal.

Эта ситуация вызывает огромные опасения, поскольку неограниченный доступ к прокси-серверам создает идеальные условия для реализации различных угроз, включая:

  • Мошенничество с рекламой;
  • Распределенные атаки типа «отказ в обслуживании» (DDoS);
  • Попытки применения грубой силы;
  • Использование украденных данных.

Структура ботнета

По данным исследования, ботнет состоит по меньшей мере из пяти серверов. Четыре из них взаимодействуют через порт 80, в то время как один работает через UDP-порт 1443, что позволяет тихо принимать трафик жертвы.

Операторы сети предлагают прокси-серверы для аренды на 24 часа. Пользователи при этом должны проверять, указаны ли выбранные IP-адреса в каких-либо списках отказов, чтобы улучшить свою тактику обхода. Это способствует смешиванию вредоносного трафика с законным, что затрудняет обнаружение.

Долгосрочная стратегия скрытности

Скрытность, которую эта группа соблюдает на протяжении долгого времени, свидетельствует о стратегическом подходе к уклонению от правоохранительных органов. Black Lotus Labs не раскрывает конкретных подробностей о типах вредоносного ПО, так как уязвимые устройства играют ключевую роль в этой схеме.

Рекомендации по борьбе с угрозами

Для противодействия угрозам от таких прокси-сетей рекомендуется:

  • Мониторинг атак на уязвимые учетные данные;
  • Блокирование известных открытых прокси-серверов;
  • Использование брандмауэров веб-приложений для предотвращения подключений из потенциальных ботнетов;
  • Внедрение средств защиты периметра сети.

Пока существует множество устройств EoL, оставшихся уязвимыми для использования, риск, связанный с такими прокси-сервисами, остается значительным. Исследования данной преступной инфраструктуры будут продолжены с акцентом на сотрудничество с правоохранительными органами для эффективного пресечения этой вредоносной деятельности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: