Аналитики Starlight-CTI зафиксировали одновременное использование как современных, так и давно известных уязвимостей и вредоносных программ в Китае, США и Индии. Специалисты по кибербезопасности настоятельно рекомендуют немедленно заблокировать на периметре сетей исходные IP-адреса, связанные с этой активностью, с помощью межсетевых экранов, систем обнаружения и предотвращения вторжений (IDS/IPS) и веб-приложений (WAF).
Описание
Китайский вектор атак демонстрирует сложный гибридный подход. Злоумышленники активно эксплуатируют уязвимость удаленного выполнения кода (Remote Code Execution) в роутерах Dasan GPON. Эта брешь позволяет получить полный контроль над сетевым устройством. Параллельно наблюдается использование уязвимости выполнения команд через заголовок SOAPAction в протоколе HNAP на устройствах D-Link. Третьим компонентом китайской кампании стал ботнет Mozi, известный своей способностью создавать разветвленные сети зараженных устройств для проведения масштабных DDoS-атак и кражи данных. Сочетание этих трех угроз указывает на высокоорганизованную операцию, нацеленную на создание устойчивой платформы для дальнейших кибератак.
В США киберугрозы носят разнородный характер, что свидетельствует о деятельности нескольких независимых групп. Особую тревогу у экспертов вызвало появление в трафике признаков Back Orifice. Этот троянский конь, известный с конца 1990-х годов, обеспечивает злоумышленникам неавторизованный удаленный доступ к системе. Его повторное появление в 2025 году может говорить либо о попытках использовать его в условиях ослабленного внимания к устаревшим угрозам, либо о модификации его кода для обхода современных систем защиты. Помимо этого, в США активен ботнет SystemBC, который часто используется как прокси-сервер для других вредоносных программ, например, программ-вымогателей (ransomware), шифрующих данные жертвы. Замыкает список угроз уязвимость обхода аутентификации в прокси-сервере NodeJS для операционной системы FortiOS, что может привести к несанкционированному доступу к корпоративным сетевым ресурсам.
Индийский сегмент киберпространства также подвергся интенсивной атаке. Здесь аналитики Starlight-CTI отмечают пересечение угроз с другими регионами: в Индии, как и в Китае, активно используется ботнет Mozi и эксплуатируется уязвимость в роутерах Dasan GPON. Это может указывать на либо на координацию между группами злоумышленников в разных странах, либо на использование одних и тех же инструментов разными независимыми акторами. Уникальной для Индии угрозой стала уязвимость произвольного выполнения команд через HTTP-демон в прошивках DD-WRT. Эта популярная альтернативная прошивка для беспроводных маршрутизаторов, будучи скомпрометированной, открывает злоумышленникам широкие возможности для проникновения в локальную сеть.
Почему именно сетевые устройства стали главной мишенью? Роутеры, точки доступа и сетевое оборудование часто являются слабым звеном в защите. Многие организации уделяют основное внимание защите серверов и рабочих станций, оставляя периферийные устройства без регулярного обновления и мониторинга. Для злоумышленников это идеальные точки входа: они обеспечивают постоянное присутствие в сети и могут быть использованы для сканирования, атак на внутренние ресурсы или как плацдарм для перемещения по сети. Совпадение некоторых угроз, таких как Mozi и уязвимость Dasan GPON, в разных странах подчеркивает глобальный характер современных киберкампаний.
Рекомендация Starlight-CTI о немедленной блокировке указанных IP-адресов на периметре сети является критически важной мерой первого эшелона защиты. Однако специалисты напоминают, что это лишь часть комплексного подхода. Не менее важны своевременное применение заплаток и обновление прошивок всех сетевых устройств, сегментация сетей для ограничения распространения атак и повышение осведомленности пользователей. Текущая ситуация наглядно демонстрирует, что киберпреступники не изобретают всегда что-то новое, а умело комбинируют старое и новое, атакуя там, где защита наименее ожидает.
Индикаторы компрометации
IPv4
- 103.158.171.53
- 103.160.197.191
- 103.160.197.58
- 103.199.180.26
- 103.199.200.164
- 103.27.105.134
- 112.248.101.153
- 112.74.242.167
- 113.231.210.47
- 113.252.81.252
- 115.50.106.77
- 115.58.151.49
- 115.90.103.99
- 117.193.105.116
- 117.199.161.11
- 117.209.80.247
- 117.217.129.37
- 117.221.162.87
- 118.194.235.105
- 118.34.23.12
- 119.179.222.116
- 119.18.55.217
- 120.61.1.235
- 120.61.246.21
- 120.78.9.93
- 121.155.79.102
- 121.176.116.80
- 121.236.244.174
- 123.12.224.109
- 125.40.11.26
- 125.41.4.217
- 125.47.73.255
- 13.58.50.15
- 134.122.34.45
- 14.1.107.184
- 14.103.227.145
- 14.48.157.159
- 147.182.230.69
- 152.42.165.37
- 152.42.251.55
- 160.248.69.250
- 161.35.139.251
- 168.205.224.79
- 170.81.121.131
- 172.96.172.188
- 175.156.140.100
- 176.65.148.190
- 176.65.148.204
- 18.117.235.157
- 18.117.247.54
- 18.188.57.34
- 18.216.55.49
- 18.220.127.214
- 18.222.124.53
- 185.236.231.163
- 188.243.208.131
- 195.184.76.255
- 196.188.80.3
- 196.240.193.48
- 197.60.174.219
- 206.189.10.211
- 207.154.197.113
- 207.154.253.87
- 211.24.84.19
- 220.249.150.185
- 222.103.82.190
- 222.107.231.169
- 222.86.99.39
- 223.9.113.13
- 27.215.82.7
- 27.43.207.171
- 3.106.118.204
- 3.133.103.166
- 3.145.182.5
- 3.145.193.51
- 3.15.160.184
- 42.224.237.159
- 42.228.36.211
- 42.235.86.89
- 42.52.205.20
- 42.58.20.136
- 42.85.161.193
- 44.220.188.161
- 45.115.89.140
- 45.156.128.108
- 52.15.160.251
- 59.125.55.30
- 59.95.80.20
- 59.97.177.242
- 61.3.129.166
- 64.227.13.127
- 64.227.171.95
- 68.183.100.225
- 89.7.10.237
- 91.196.152.133
- 91.196.152.135
- 91.196.152.249
- 91.196.152.255
- 94.243.10.42
- 95.52.52.241