В начале декабря 2025 года служба киберразведки Starlight-CTI зафиксировала заметную активность злоумышленников по всему миру. Согласно их отчету, угрозы были сфокусированы на использовании известных ботнетов и эксплуатации уязвимостей в сетевом оборудовании и веб-серверах. Эксперты отмечают, что подобная активность подчеркивает сохраняющуюся актуальность старых угроз и необходимость регулярного обновления программного обеспечения.
Описание
В Европе, в частности в Греции (EG), основное внимание злоумышленников было приковано к ботнету Mirai. Эта печально известная сеть взломанных устройств интернета вещей (IoT) традиционно используется для организации масштабных DDoS-атак. Ее постоянное присутствие в угрозном ландшафте свидетельствует о том, что многие устройства до сих пор не защищены надежными паролями и не получают своевременных обновлений прошивок.
Напротив, в США картина угроз оказалась более разнообразной. Аналитики Starlight-CTi обнаружили трафик, связанный с Back Orifice. Этот старый инструмент удаленного администрирования (RAT), созданный в конце 1990-х, исторически использовался как вредоносная программа (malware) для скрытого контроля над системами. Его появление может указывать либо на активность энтузиастов, либо на попытки злоумышленников использовать старые, менее заметные средства для обеспечения устойчивости (persistence) в сети.
Параллельно в Штатах была зафиксирована активность ботнета SystemBC. Этот инструмент часто выступает в роли прокси-сервера или средства для доставки дополнительного вредоносного кода (payload) в рамках более сложных кампаний, например, связанных с программами-вымогателями (ransomware). Кроме того, была отмечена эксплуатация уязвимости в DVR-устройствах для систем видеонаблюдения JAWS, позволяющая выполнять произвольные команды без аутентификации. Эта уязвимость представляет серьезную опасность, так как дает злоумышленникам полный контроль над камерами и видеорегистраторами.
Китай стал третьей ключевой точкой активности. Здесь, помимо уже упомянутого ботнета Mirai, злоумышленники эксплуатировали две серьезные уязвимости. Первая касается HTTP-демона в прошивке DD-WRT для маршрутизаторов, позволяющая выполнять произвольные команды. Вторая - это проблема обхода путей (Path Traversal) в модуле cgi-bin сервера Apache, которая может привести к утечке конфиденциальных данных или выполнению кода.
Объединяя эти данные, можно сделать несколько выводов. Во-первых, устройства интернета вещей и сетевая периферия остаются слабым звеном в глобальной безопасности. Уязвимости в роутерах, камерах и DVR активно используются для включения устройств в ботнеты. Во-вторых, киберпреступники не гнушаются возвращаться к старым, но проверенным инструментам вроде Back Orifice, рассчитывая на то, что современные системы защиты могут их не распознать.
В-третьих, географическое распределение угроз демонстрирует их неспецифический характер: одни и те же семейства вредоносных программ, такие как Mirai, действуют по всему миру. Это указывает на глобальный и автоматизированный характер атак, которые сканируют интернет в поисках любых уязвимых систем, независимо от их расположения.
Для организаций и частных пользователей рекомендации остаются классическими, но критически важными. Необходимо своевременно устанавливать обновления прошивок для всего сетевого оборудования, от маршрутизаторов до камер видеонаблюдения. Следует изменять стандартные учетные данные доступа и использовать сложные пароли. Кроме того, важно сегментировать сети, чтобы изолировать потенциально уязвимые IoT-устройства от критически важных систем. Мониторинг сетевого трафика на предмет аномалий также может помочь в раннем обнаружении инцидентов.
Таким образом, декабрьский срез угроз от Starlight-CTI наглядно показывает, что кибербезопасность - это непрерывный процесс. Угрозы эволюционируют, но многие из них по-прежнему основаны на эксплуатации давно известных проблем, что делает базовую гигиену безопасности одной из самых эффективных мер защиты.
Индикаторы компрометации
IPv4
- 103.115.187.89
- 103.130.215.13
- 103.158.132.161
- 103.158.175.115
- 103.206.103.178
- 103.210.101.105
- 104.248.209.94
- 106.75.14.66
- 110.37.34.241
- 113.225.40.245
- 117.205.173.180
- 117.206.18.215
- 117.206.31.249
- 117.209.82.166
- 117.236.242.32
- 117.247.217.135
- 120.46.1.238
- 120.85.119.190
- 122.96.48.206
- 123.253.22.45
- 125.41.205.191
- 13.58.240.65
- 134.122.136.96
- 144.31.246.55
- 146.190.63.248
- 156.192.140.31
- 156.196.46.58
- 156.203.59.126
- 156.211.175.238
- 156.212.225.93
- 156.213.47.90
- 156.223.66.92
- 157.18.186.6
- 159.223.0.40
- 161.97.166.188
- 163.0.18.187
- 165.22.56.158
- 165.227.75.177
- 172.236.233.65
- 173.239.218.42
- 18.117.225.51
- 18.117.251.72
- 184.174.39.173
- 185.207.66.44
- 186.221.166.249
- 189.85.109.237
- 192.241.184.109
- 197.36.147.0
- 197.36.167.189
- 197.37.245.8
- 197.49.132.111
- 197.49.187.246
- 197.50.151.93
- 197.58.130.145
- 197.60.42.7
- 212.32.49.208
- 212.56.41.219
- 218.208.89.83
- 222.78.9.254
- 27.196.6.147
- 27.47.38.152
- 3.106.118.129
- 3.12.132.105
- 3.128.76.242
- 3.132.216.179
- 3.140.255.74
- 3.150.136.10
- 3.21.33.180
- 31.36.173.181
- 36.255.18.130
- 38.108.182.50
- 38.49.210.21
- 41.232.43.45
- 41.233.38.62
- 41.237.246.247
- 41.238.113.175
- 41.239.95.115
- 41.35.145.182
- 41.36.33.228
- 41.36.97.184
- 41.39.109.99
- 41.43.101.53
- 41.45.145.119
- 41.45.178.195
- 41.47.191.234
- 41.47.238.134
- 42.234.75.100
- 45.135.232.201
- 47.236.227.98
- 51.161.18.249
- 52.14.119.50
- 58.249.163.155
- 58.249.166.136
- 59.88.6.27
- 59.97.183.149
- 68.183.188.129
- 68.183.192.114
- 78.165.246.50
- 82.22.110.56
- 94.243.15.79
