Система Starlight-CTI, зафиксировала резкий всплеск вредоносной активности по всему миру. Аналитики кибербезопасности выделили наиболее активные индикаторы компрометации (IoC), сгруппированные по странам-источникам атак. Эксперты настоятельно рекомендуют немедленно заблокировать все указанные исходные IP-адреса на периметре сетей с помощью межсетевых экранов, систем обнаружения и предотвращения вторжений (IDS/IPS) и веб-приложений (WAF).
Описание
В Соединенных Штатах Америки злоумышленники наиболее активно используют три ключевых вектора атак. Первый - трафик, связанный с бэкдором Back Orifice, классическим, но до сих пор опасным инструментом для удаленного администрирования, часто используемым в противоправных целях. Второй распространенный метод - распространение вредоносных ссылок (malicious-url), ведущих на фишинговые сайты или автоматически загружающих опасный код на устройства жертв. Третий вектор нацелен на уязвимости в веб-серверах Apache, в частности, на трассировку пути (Path Traversal) в каталоге cgi-bin, что позволяет злоумышленникам получать несанкционированный доступ к конфиденциальным файлам.
Напротив, в Индии киберпреступники сконцентрировались на атаках против сетевых маршрутизаторов, эксплуатируя критические уязвимости удаленного выполнения кода. Были зафиксированы многочисленные попытки атак через уязвимость formLogin в различных маршрутизаторах GPON, позволяющую выполнять произвольные команды без авторизации. Аналогичная уязвимость в устройствах Dasan GPON также активно использовалась для того же. Третья значимая угроза исходила от уязвимости в маршрутизаторах NETGEAR DGN1000, где обработка CGI-запросов допускала выполнение кода без проверки подлинности пользователя. Эти атаки направлены на получение полного контроля над сетевым оборудованием.
Китай стал источником более разнообразных по своей природе угроз. Первая связана с HTTP-демоном в прошивках DD-WRT, где была обнаружена возможность выполнения произвольных команд. Вторая - активность ботнета Sora, сети зараженных компьютеров, используемых для проведения масштабных DDoS-атак или рассылки спама. Третья угроза носит более скрытый характер: исходящий TCP-трафик с метками времени, выходящими за допустимые пределы (Out Of Range Timestamp). Эта аномалия может указывать на попытки скрытной передачи данных, обхода систем обнаружения вторжений или сканирования сетей.
Представленные данные демонстрируют четкую географическую специфику тактик злоумышленников. В то время как в США преобладают атаки на веб-серверы и классические вредоносные программы, в Индии наблюдается целенаправленная охота на сетевое оборудование провайдеров и частных пользователей. Угрозы из Китая сочетают в себе эксплуатацию уязвимостей в прошивках, работу масштабных сетевых угроз (ботнетов) и применение сложных методов уклонения от обнаружения.
Немедленное блокирование указанных индикаторов на уровне периметра сети является критически важной мерой для предотвращения потенциальных инцидентов. Источник информации, Starlight-CTI, предоставляет разведданные, соответствующие международному стандарту ISO 27001:2022, что подчеркивает их надежность и необходимость принятия серьезных защитных мер организациями по всему миру для защиты своих активов от этих целенаправленных и опасных угроз.
Индикаторы компрометации
IPv4
- 101.36.123.102
- 102.212.41.11
- 103.159.221.33
- 103.182.116.105
- 103.203.72.98
- 103.229.125.91
- 103.48.64.232
- 103.48.64.4
- 103.48.66.209
- 103.48.66.225
- 103.70.167.85
- 104.16.155.248
- 104.17.21.129
- 104.19.174.175
- 111.22.101.226
- 112.167.126.78
- 113.211.130.189
- 113.6.251.18
- 115.52.107.10
- 116.203.63.177
- 117.193.150.245
- 117.205.162.41
- 117.206.111.19
- 117.209.88.155
- 117.248.25.9
- 120.78.9.93
- 125.240.188.136
- 137.184.165.220
- 14.1.188.223
- 144.129.7.50
- 147.46.245.69
- 151.45.200.181
- 156.193.145.36
- 156.218.7.166
- 156.243.83.147
- 161.35.183.194
- 162.159.237.231
- 162.243.211.116
- 165.232.168.246
- 172.68.159.43
- 173.212.238.133
- 175.107.36.7
- 175.139.233.177
- 176.65.132.49
- 178.62.228.74
- 18.143.202.114
- 18.191.47.67
- 182.138.158.44
- 182.231.17.194
- 183.182.116.33
- 185.153.177.227
- 185.194.204.246
- 185.80.172.206
- 188.25.59.34
- 195.18.19.40
- 195.184.76.43
- 198.143.46.2
- 198.143.46.20
- 20.64.104.164
- 202.184.97.138
- 202.21.42.130
- 202.88.43.49
- 209.38.34.37
- 216.45.58.177
- 218.149.153.117
- 219.156.109.79
- 223.76.210.31
- 27.125.240.119
- 27.125.249.35
- 27.212.216.64
- 27.215.51.80
- 3.140.216.187
- 3.140.252.152
- 3.21.154.146
- 3.26.100.12
- 36.255.6.61
- 37.60.141.158
- 38.146.30.200
- 39.126.138.30
- 42.229.221.199
- 45.156.128.112
- 45.230.66.100
- 52.165.89.126
- 59.3.166.215
- 59.94.65.213
- 62.146.238.80
- 64.39.103.111
- 65.181.17.207
- 66.175.211.202
- 66.248.202.2
- 72.68.34.246
- 75.127.172.22
- 77.31.174.125
- 79.116.17.116
- 8.219.180.252
- 85.100.218.235
- 89.117.48.162
- 89.36.78.122
- 91.196.152.132
- 94.243.8.104
