Главная страница » Индикаторы компрометации
0
13 дней
Индикаторы компрометации

Критическая киберугроза глобального масштаба: уязвимости маршрутизаторов и ботнеты атакуют ключевые страны

information security

Согласно последним данным от Starlight Intelligence, зафиксирована активизация нескольких перекрывающихся киберугроз, нацеленных на сетевую инфраструктуру и конечные устройства в Индии, США и Китае. Отчет подразделения киберразведки Starlight-CTI от 6 октября 2025 года детализирует эксплуатацию критических уязвимостей в популярных маршрутизаторах и активность продвинутых бот-сетей, что требует незамедлительных мер по блокировке на периметре сетей.

Описание

В Индии и Китае злоумышленники одновременно эксплуатируют три типа уязвимостей в сетевом оборудовании, что указывает на скоординированную кампанию. Первая угроза связана с уязвимостью в устройствах D-Link, использующих протокол HNAP. Атака заключается в выполнении произвольных команд через манипуляции с заголовком SOAPAction в запросах. Это позволяет злоумышленникам получить полный контроль над устройством без необходимости аутентификации. Вторая уязвимость затрагивает маршрутизаторы NETGEAR DGN1000, где существует возможность удаленного выполнения кода через интерфейс CGI, также без проверки подлинности. Третья угроза, признанная наиболее массовой, связана с инъекцией команд в механизм аутентификации formLogin на множестве маршрутизаторов с технологией GPON. Совместная эксплуатация этих уязвимостей создает условия для полного компрометирования сетевой периферии, установки вредоносного программного обеспечения и организации скрытых каналов связи.

Параллельно в США зафиксирована активность трех различных бот-сетей, представляющих различный уровень угрозы. Наблюдается трафик, характерный для Back Orifice - классического инструмента удаленного администрирования, который десятилетиями используется злоумышленниками для скрытного контроля над системами. Его присутствие в современном ландшафте угроз подчеркивает тенденцию киберпреступников к повторному использованию проверенных инструментов. Более серьезную опасность представляют ботнеты Sora и SystemBC. Sora Botnet относится к современным сетевым угрозам, способным к масштабным распределенным атакам типа «отказ в обслуживании» (DDoS), краже данных и рассылке спама. SystemBC Botnet является еще более изощренной платформой, часто используемой группировками, связанными с программами-вымогателями, в качестве прокси-инфраструктуры для скрытия командного центра и обхода систем защиты.

Совпадение векторов атаки на сетевые устройства в Индии и Китае позволяет предположить, что злоумышленники проводят широкомасштабную кампанию по созданию плацдарма в критически важной инфраструктуре. Скомпрометированные маршрутизаторы могут быть использованы для перенаправления трафика, перехвата конфиденциальных данных, скрытия источника последующих атак и формирования новых узлов для бот-сетей. Активность в США, хотя и отличается по тактике, имеет схожую стратегическую цель - обеспечение устойчивого и скрытного присутствия в корпоративных и частных сетях.

Starlight Intelligence настоятельно рекомендует немедленно заблокировать все исходные IP-адреса, указанные в сопутствующей таблице отчета, на периметре корпоративной сети. Данная мера должна быть реализована с использованием всех доступных средств контроля доступа: межсетевых экранов (файрволов), систем обнаружения и предотвращения вторжений (IDS/IPS) и веб-приложений (WAF). Проактивная блокировка известных индикаторов компрометации является первоочередной и наиболее эффективной мерой по обрыву цепочки кибератаки на ранней стадии.

Для организаций, использующих упомянутое оборудование, критически важно в срочном порядке проверить наличие и установить последние обновления прошивок от производителей. Для моделей D-Link и NETGEAR, подверженных атакам через HNAP и CGI, следует отключить неиспользуемые службы удаленного управления, если это позволяет операционная модель. Владельцам маршрутизаторов GPON необходимо уделить особое внимание проверке журналов аутентификации на предмет подозрительных попыток входа и рассмотреть возможность изменения стандартных учетных данных доступа. Мониторинг сетевого трафика на предмет аномальных исходящих соединений, особенно на нестандартные порты, может помочь в выявлении уже скомпрометированных устройств.

Текущая ситуация наглядно демонстрирует растущую зависимость киберпреступников от уязвимостей в сетевой инфраструктуре, которая часто остается без должного внимания с точки зрения безопасности. Совместное использование устаревших протоколов, таких как HNAP, и ошибок реализации в веб-интерфейсах управления создает благодатную почву для атак, последствия которых могут быть катастрофическими для целостности и конфиденциальности передаваемых данных. Оперативное следование рекомендациям киберразведки позволяет существенно снизить риски и предотвратить потенциальный ущерб от реализуемых в настоящее время угроз. Постоянный мониторинг источников актуальной разведывательной информации становится неотъемлемой частью стратегии безопасности для любой организации.

Индикаторы компрометации

IPv4

  • 1.2.200.168
  • 103.110.19.3
  • 103.158.171.55
  • 103.160.196.30
  • 103.199.200.138
  • 103.203.72.52
  • 103.208.104.229
  • 103.70.167.16
  • 112.118.176.126
  • 112.169.61.19
  • 112.237.24.157
  • 112.248.5.109
  • 112.46.212.31
  • 112.46.213.31
  • 112.46.214.105
  • 114.45.143.102
  • 115.148.213.231
  • 115.62.59.21
  • 115.94.9.181
  • 115.95.95.220
  • 117.200.239.181
  • 117.204.167.239
  • 117.209.0.14
  • 117.209.2.182
  • 117.209.88.142
  • 117.213.123.83
  • 117.215.62.201
  • 117.223.142.156
  • 117.247.216.61
  • 120.57.117.145
  • 125.138.125.248
  • 125.25.230.95
  • 125.25.234.222
  • 125.25.239.113
  • 125.44.204.38
  • 125.45.66.1
  • 138.197.191.87
  • 139.135.46.48
  • 139.5.10.164
  • 139.59.136.184
  • 139.59.147.231
  • 14.54.168.44
  • 153.195.10.51
  • 157.245.127.192
  • 162.243.122.147
  • 167.172.45.137
  • 178.92.96.63
  • 179.87.58.65
  • 18.118.111.166
  • 18.191.167.16
  • 18.219.179.154
  • 18.219.214.169
  • 18.222.63.235
  • 18.224.170.94
  • 18.224.20.102
  • 182.116.55.240
  • 194.233.65.81
  • 196.190.1.39
  • 196.190.65.73
  • 2.249.142.93
  • 202.21.42.212
  • 203.177.237.148
  • 209.38.150.115
  • 216.246.19.77
  • 219.155.71.201
  • 219.157.130.15
  • 220.77.226.169
  • 222.103.235.68
  • 223.149.161.130
  • 27.24.73.208
  • 27.47.3.141
  • 27.71.93.94
  • 3.139.66.11
  • 3.141.14.115
  • 3.16.28.204
  • 3.26.100.67
  • 31.220.99.243
  • 38.71.104.31
  • 41.36.36.198
  • 42.178.143.43
  • 42.230.197.92
  • 45.115.89.150
  • 45.131.3.227
  • 45.142.195.99
  • 46.186.193.10
  • 49.161.204.252
  • 54.36.144.237
  • 59.182.68.207
  • 59.88.35.231
  • 59.89.1.189
  • 59.97.253.88
  • 59.97.255.137
  • 61.52.105.244
  • 64.23.233.243
  • 64.39.103.127
  • 76.72.81.98
  • 80.253.246.73
  • 81.104.252.63
  • 91.106.73.28
  • 91.151.89.27
Комментарии: 0
Похожие записи
0
26.09.2025
Индикаторы компрометации

Киберугрозы сентября 2025: глобальный всплеск атак на сетевые устройства и появление старых угроз

information security
Аналитики Starlight-CTI зафиксировали одновременное использование как современных, так и давно известных уязвимостей и вредоносных программ в Китае, США и Индии.
0
15.08.2024
Индикаторы компрометации

Продолжающаяся кампания социальной инженерии обновляет полезную нагрузку

security
Исследователи из Rapid7 обнаружили продолжающуюся кампанию социальной инженерии с участием злоумышленников, которые инициируют атаки, рассылая электронные письма-бомбы и совершая звонки пользователям
0
17.09.2025
Индикаторы компрометации

Starlight Intelligence выявила наиболее активные векторы атак в разных странах

information security
Специалисты Starlight Intelligence, аналитического центра в области кибербезопасности, опубликовали данные о наиболее активных угрозах, выявленных в разных регионах мира.