Компания Black Lotus Labs совместно с Министерством юстиции и Национальной полицией Нидерландов в течение года отслеживала преступную прокси-сеть, заражающую устройства IOT и устройства, вышедшие из употребления (EoL), обеспечивая работу ботнета злоумышленников.
Описание
Более половины жертв оказались в США, в то время как Канада и Эквадор следуют за ними. Контроллеры ботнета требуют криптовалюту для оплаты, позволяя пользователям подключаться к прокси без аутентификации, что представляет угрозу для безопасности сети.
Используя свою глобальную магистральную телеметрию, компания Lumen выявила активность сети, адресованной на устройства с вредоносным ПО в IP-пространстве жилых домов. Согласно веб-сайту прокси-сервиса, он существует с 2004 года, обеспечивая анонимность и возможность скрыть деятельность злоумышленников. Black Lotus Labs не раскрывает подробности о вредоносном ПО, фокусируясь на рисках использования такого сервиса.
Операторы ботнета утверждают, что поддерживают более 7 000 прокси-серверов ежедневно. Благодаря телеметрии Black Lotus Labs видно около 1 000 активных прокси еженедельно в более чем 80 странах. Жертвы преимущественно расположены в США, Эквадоре и Канаде. Бот-сеть использует различные эксплойты для заражения различных типов устройств IOT, избегая современных устройств и давая предпочтение непатченным или устаревшим устройствам. Только 10 % их серверов обнаруживаются в VirusTotal, что говорит о высоком уровне избегания средств сетевого мониторинга и представляет угрозу для цифровой безопасности.
Индикаторы компрометации
IPv4
- 128.199.39.218
- 176.53.20.42
- 176.53.20.43
- 176.53.20.44
- 176.53.20.45
- 176.53.20.46
- 79.99.1.43