Киберразведчики из Starlight Intelligence предупреждают о продолжающейся активности вредоносного ботнета Mozi, который специализируется на заражении устройств Интернета вещей (IoT). Мощность этой сетевой угрозы обеспечивается за счёт автоматического сканирования и эксплуатации известных уязвимостей в широком спектре оборудования, что требует от компаний немедленных действий по усилению защитных периметров.
Описание
Эксперты отмечают, что Mozi функционирует как типичный ботнет, устанавливая на уязвимые устройства вредоносное ПО для создания разветвлённой сети зомби-устройств. Главной особенностью данной угрозы является активное использование для командования и управления (C2, command-and-control) специфических портов, таких как 12026 и 38688. Именно через эти каналы заражённое оборудование получает инструкции от операторов ботнета и передаёт им собранные данные.
Для эффективного противодействия рискам, связанным с Mozi, командам информационной безопасности необходимо реализовать комплексный подход. В первую очередь, критически важно заблокировать трафик к известным C2-портам ботнета на уровне межсетевых экранов. Речь идёт о строгом запрете исходящих подключений на порты 12026, 38688, а также на порт 31337, исторически ассоциирующийся с другим вредоносным инструментом Back Orifice.
Однако одной лишь блокировки трафика недостаточно. Следующим ключевым шагом является устранение коренных причин уязвимости. Специалисты настоятельно рекомендуют немедленно установить все доступные обновления безопасности для сетевого оборудования уязвимых вендоров, включая Dasan, NETGEAR и D-Link. Особое внимание следует уделить аппаратному обеспечению, достигшему конца срока службы (EoL, End-of-Life) и более не получающему поддержку от производителя. Такие устройства необходимо заменить в приоритетном порядке, так как они представляют собой постоянный источник риска.
Параллельно требуется усилить защиту веб-инфраструктуры, которая также может стать мишенью для атак, связанных с распространением ботнета. Это подразумевает обязательное применение патчей для устранения критических уязвимостей удалённого выполнения кода (RCE, Remote Code Execution) в популярных компонентах, таких как Log4j или фреймворк ThinkPHP. Дополнительным слоем защиты станет развёртывание межсетевого экрана веб-приложений (WAF, Web Application Firewall), способного фильтровать и блокировать зловредные запросы, включая попытки атак типа "Path Traversal".
Активность Mozi наглядно демонстрирует, насколько опасным может быть пренебрежение базовыми принципами кибергигиены в сегменте IoT. Успех этой угрозы строится на эксплуатации устаревшего ПО и слабых конфигураций безопасности. Своевременное обновление, сегментация сети и контроль исходящего трафика остаются наиболее эффективными мерами против подобных сетевых угроз. Игнорирование этих шагов может привести к интеграции корпоративных устройств в ботнет, который затем может быть использован для масштабных DDoS-атак, кражи данных или скрытого майнинга криптовалют.
Индикаторы компрометации
IPv4
- 103.168.2.190
- 103.199.202.54
- 103.203.72.208
- 103.207.224.185
- 103.210.101.1
- 103.48.66.231
- 103.68.31.52
- 110.37.61.44
- 110.39.233.106
- 111.46.232.54
- 113.230.82.218
- 113.237.64.61
- 113.238.114.100
- 115.63.203.51
- 117.192.239.214
- 117.196.190.63
- 117.200.148.45
- 117.206.24.84
- 117.208.88.7
- 117.214.82.51
- 117.215.183.253
- 117.215.90.116
- 117.217.39.115
- 117.223.1.214
- 117.223.22.5
- 117.245.208.233
- 119.116.37.160
- 119.179.240.160
- 119.252.193.122
- 120.28.162.208
- 122.96.28.221
- 123.13.20.108
- 124.198.131.61
- 124.29.214.78
- 128.14.167.117
- 13.58.122.123
- 138.68.155.173
- 139.135.40.125
- 139.135.41.138
- 139.135.43.250
- 139.5.0.7
- 139.5.1.134
- 139.59.65.143
- 14.1.105.238
- 14.1.107.177
- 14.1.107.83
- 144.48.130.175
- 148.153.56.174
- 162.243.18.104
- 162.243.250.120
- 167.172.59.13
- 171.80.3.155
- 175.107.205.152
- 175.151.114.155
- 175.165.80.63
- 178.141.177.248
- 178.243.139.179
- 18.219.211.103
- 180.94.20.188
- 182.114.192.152
- 183.214.149.164
- 185.172.108.29
- 194.150.220.102
- 194.32.142.49
- 206.189.8.67
- 211.21.108.115
- 211.250.26.54
- 222.141.255.146
- 24.16.255.17
- 27.219.142.205
- 3.129.204.151
- 3.26.100.163
- 36.255.18.66
- 36.255.5.6
- 36.255.6.113
- 42.234.233.232
- 42.5.30.177
- 59.126.236.33
- 59.173.122.171
- 59.182.251.245
- 59.182.68.109
- 59.88.12.169
- 59.88.153.163
- 59.89.9.20
- 59.96.139.236
- 59.96.142.174
- 59.97.252.157
- 60.19.5.121
- 60.214.63.77
- 60.23.235.20
- 60.251.178.143
- 61.3.31.220
- 66.167.147.108
- 79.99.40.90
- 89.151.141.188
- 94.243.13.113
- 94.243.14.142
- 94.243.14.90
- 94.243.15.77
- 94.243.8.184
