Ботнет из мертвых устройств: злоумышленники обходят защиту и скрывают свою деятельность

botnet

Компания Black Lotus Labs совместно с Министерством юстиции и Национальной полицией Нидерландов в течение года отслеживала преступную прокси-сеть, заражающую устройства IOT и устройства, вышедшие из употребления (EoL), обеспечивая работу ботнета злоумышленников.

Описание

Более половины жертв оказались в США, в то время как Канада и Эквадор следуют за ними. Контроллеры ботнета требуют криптовалюту для оплаты, позволяя пользователям подключаться к прокси без аутентификации, что представляет угрозу для безопасности сети.

Используя свою глобальную магистральную телеметрию, компания Lumen выявила активность сети, адресованной на устройства с вредоносным ПО в IP-пространстве жилых домов. Согласно веб-сайту прокси-сервиса, он существует с 2004 года, обеспечивая анонимность и возможность скрыть деятельность злоумышленников. Black Lotus Labs не раскрывает подробности о вредоносном ПО, фокусируясь на рисках использования такого сервиса.

Операторы ботнета утверждают, что поддерживают более 7 000 прокси-серверов ежедневно. Благодаря телеметрии Black Lotus Labs видно около 1 000 активных прокси еженедельно в более чем 80 странах. Жертвы преимущественно расположены в США, Эквадоре и Канаде. Бот-сеть использует различные эксплойты для заражения различных типов устройств IOT, избегая современных устройств и давая предпочтение непатченным или устаревшим устройствам. Только 10 % их серверов обнаруживаются в VirusTotal, что говорит о высоком уровне избегания средств сетевого мониторинга и представляет угрозу для цифровой безопасности.

Индикаторы компрометации

IPv4

  • 128.199.39.218
  • 176.53.20.42
  • 176.53.20.43
  • 176.53.20.44
  • 176.53.20.45
  • 176.53.20.46
  • 79.99.1.43
Комментарии: 0