Согласно свежим данным от Starlight Intelligence, датированным 23 сентября 2025 года, в глобальном киберпространстве наблюдается тревожная активность. Группировки злоумышленников активно эксплуатируют давно известные уязвимости в сетевом оборудовании и программном обеспечении, нацеливаясь на организации в США, Китае и Индии. Специалисты по кибербезопасности призывают немедленно принять меры по блокировке указанных источников угроз на периметре корпоративных сетей.
Описание
В Соединенных Штатах аналитики зафиксировали три основных вектора атак. Во-первых, это трафик, связанный с Back Orifice - классическим вредоносным инструментом удаленного администрирования, который остается в арсенале киберпреступников благодаря своей простоте и эффективности. Во-вторых, эксплуатируется уязвимость в веб-портале SSL VPN решений FortiOS, приводящая к раскрытию информации о путях в системе. Эта уязвимость позволяет злоумышленникам получать конфиденциальные данные, которые могут быть использованы для дальнейшего проникновения. Третий вектор атаки нацелен на уязвимость в компоненте RadAsyncUpload пользовательского интерфейса Telerik Web UI, которая позволяет осуществлять произвольную загрузку файлов. Это открывает дорогу для размещения на сервере вредоносного кода, включая шеллы и программы-вымогатели.
Китайские сети, согласно отчету, подвергаются атакам через уязвимости в популярном маршрутизаторном оборудовании. В частности, активно используется уязвимость удаленного внедрения команд в функцию formLogin маршрутизаторов GPON. Аналогичная проблема затрагивает маршрутизаторы NETGEAR модели DGN1000, где уязвимость в интерфейсе CGI позволяет выполнять код без аутентификации. Эти уязвимости делают устройства легкой добычей для ботнетов, таких как Mirai, которые захватывают контроль над устройствами для организации масштабных DDoS-атак или скрытия другой противоправной деятельности.
Ситуация в Индии демонстрирует схожие тенденции, что указывает на глобальный характер угрозы для сетевой инфраструктуры. Здесь злоумышленники концентрируются на устройствах D-Link, используя уязвимость выполнения команд через заголовок SOAPAction в протоколе HNAP. Дополнительно эксплуатируются уже упомянутые уязвимости в маршрутизаторах GPON от производителя Dasan и других вендоров, связанные с удаленным выполнением кода. Такая концентрация на уязвимостях в сетевом оборудовании делает домашние сети и сети малого бизнеса особенно уязвимыми, так как обновление прошивок на таких устройствах часто откладывается пользователями.
Эксперты Starlight Intelligence настоятельно рекомендуют немедленно заблокировать все исходные IP-адреса, связанные с этой активностью, на периметре корпоратных сетей. Для этого необходимо задействовать все доступные средства защиты: межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), а также веб-прикладные экраны (WAF). Подобные упреждающие действия являются краеугольным камнем современной стратегии безопасности, позволяя предотвратить инцидент до того, как злоумышленники получат доступ к критически важным активам.
Повсеместное использование давно известных уязвимостей красноречиво свидетельствует о проблеме недостаточного внимания к базовой гигиене кибербезопасности. Многие организации пренебрегают своевременным обновлением программного обеспечения и прошивок, что создает для атакующих широкое поле деятельности. Текущая ситуация служит серьезным напоминанием о том, что эффективная защита требует непрерывного мониторинга угроз, оперативного применения заплаток и строгого соблюдения политик безопасности. Игнорирование этих принципов неминуемо ведет к росту успешных кибератак, последствия которых могут быть катастрофическими для бизнеса и репутации.
Индикаторы компрометации
IPv4
- 1.15.148.223
- 103.199.202.30
- 103.38.192.58
- 103.98.38.228
- 107.170.32.251
- 110.152.120.51
- 111.241.195.112
- 113.193.89.19
- 115.190.75.127
- 115.49.76.90
- 115.53.23.37
- 116.177.30.43
- 117.206.73.135
- 117.209.92.227
- 117.211.147.208
- 117.212.48.136
- 117.221.113.50
- 117.247.109.76
- 117.248.27.227
- 120.138.12.94
- 120.61.255.84
- 120.85.118.244
- 120.85.119.221
- 121.224.246.191
- 123.129.128.248
- 123.176.141.31
- 123.9.112.104
- 125.41.140.234
- 134.209.94.212
- 139.135.46.90
- 139.5.11.65
- 143.198.67.84
- 146.190.241.211
- 151.177.184.154
- 154.51.40.59
- 159.65.172.46
- 161.35.203.180
- 162.243.96.91
- 170.64.169.12
- 170.64.206.48
- 176.236.141.202
- 18.116.39.172
- 18.117.127.121
- 18.118.241.71
- 18.188.177.115
- 18.188.192.120
- 18.217.195.131
- 18.220.8.78
- 182.116.53.191
- 182.230.24.171
- 183.107.22.70
- 185.107.44.223
- 185.196.10.170
- 185.226.196.22
- 190.8.173.146
- 195.184.76.250
- 195.184.76.40
- 195.184.76.41
- 195.184.76.46
- 197.39.77.77
- 198.143.46.29
- 201.205.247.46
- 203.93.173.11
- 206.189.134.143
- 211.35.225.16
- 221.124.197.89
- 27.0.216.164
- 27.189.204.42
- 27.204.197.139
- 27.65.180.66
- 3.106.118.206
- 3.129.52.3
- 3.15.224.206
- 3.150.123.164
- 3.21.134.249
- 42.234.232.7
- 42.235.48.52
- 42.236.220.140
- 45.156.128.156
- 45.156.128.174
- 45.156.129.126
- 45.230.66.97
- 45.249.208.209
- 45.38.44.221
- 45.88.186.32
- 5.140.85.60
- 58.150.121.58
- 59.88.153.71
- 60.23.231.35
- 61.52.42.138
- 74.108.171.216
- 79.17.149.125
- 8.219.11.209
- 8.219.193.108
- 82.84.171.43
- 87.120.191.37
- 91.196.152.128
- 93.44.154.144
- 94.182.145.141
- 95.70.142.70