Эксперты компании Sekoia.io обнаружили активность хакерской группы ViciousTrap, которая превратила более 5500 сетевых устройств в распределённую сеть перехвата трафика. Злоумышленники атакуют маршрутизаторы, VPN-шлюзы, видеорегистраторы и контроллеры, чтобы следить за эксплуатацией уязвимостей и перехватывать данные.
Описание
Группа использует уязвимость CVE-2023-20118 в маршрутизаторах Cisco, чтобы загружать вредоносный скрипт NetGhost. Этот скрипт перенаправляет входящий трафик с портов 80, 8000 и 8080 на серверы злоумышленников, позволяя им перехватывать данные и анализировать попытки эксплуатации других уязвимостей.
Масштабы угрозы
- Более 50 брендов устройств, включая D-Link, Linksys, ASUS и QNAP, находятся под наблюдением.
- Основная масса заражённых устройств расположена в Азии, особенно в Макао, где распространены устаревшие маршрутизаторы D-Link.
- Атакующие серверы размещены в Малайзии и используют уникальные SSL-сертификаты для маскировки.
Цели атаки
- Исследователи предполагают, что злоумышленники стремятся:
- Собирать нулевые уязвимости, эксплуатируемые другими хакерами.
- Перехватывать учётные данные и данные жертв.
- Создать глобальную инфраструктуру для будущих атак.
Индикаторы компрометации
IPv4
- 101.99.90.20
- 101.99.91.151
- 101.99.91.239
- 101.99.94.173
- 103.43.18.59
- 103.43.19.61
- 103.56.17.163
- 111.90.148.112
- 111.90.148.151
- 155.254.60.160
- 212.232.23.143
- 212.232.23.168
- 212.232.23.217
SHA256
- 20dff1120d968330c703aa485b3ea0ece45a227563ca0ffa395e4e59474dc6bd
- d92d2f102e1e417894bd2920e477638edfae7f08d78aee605b1ba799507e3e77