Главная страница » IOC
0
4 месяца
IOC

Matrix APT IOCs

security

Исследователи Aqua Nautilus обнаружили новую кампанию распределенного отказа в обслуживании (DDoS), организованную злоумышленником по имени Matrix. Эта кампания является широкомасштабной и показывает, что даже с минимальными техническими знаниями и доступными инструментами можно провести масштабные кибератаки. Matrix использует уязвимости и неправильную конфигурацию подключенных к Интернету устройств, таких как IoT и корпоративные системы. Он создает ботнет с помощью публичных скриптов, брутфорс атак и слабых учетных данных.

Matrix APT

Исследователи отмечают, что эта операция демонстрирует эволюцию угроз, когда даже скрипт-кидди может использовать инструменты с открытым исходным кодом для проведения сложных атак.

Ключевые выводы из исследования:

  1. Эта кампания показывает, как доступные инструменты и минимальные технические знания могут обеспечить крупномасштабные кибератаки.
  2. Matrix может организовать глобальную атаку, демонстрируя растущую тенденцию среди злоумышленников.
  3. Скрипт-кидди представляют более серьезную угрозу с появлением искусственного интеллекта и готовых хакерских инструментов.
  4. Целью атак Matrix была финансовая выгода, а не политические или патриотические цели.
  5. Злоумышленники активно атакуют серверы разработки программного обеспечения и производственные серверы, что свидетельствует о растущем интересе к использованию корпоративных уязвимостей и неправильных конфигураций для DDoS-активности.

Исследователи также обнаружили основные методы этой кампании, включая использование уязвимостей маршрутизаторов, эксплойты для видеорегистраторов и камер, атаки на телекоммуникационное оборудование и IoT-устройства, а также уязвимости в программных системах, таких как Apache Hadoop YARN и HugeGraph. Злоумышленники в основном используют общие учетные данные по умолчанию, чтобы получить доступ к устройствам, а после взлома они проводят дальнейшие атаки, включая DDoS.

Эксплуатируемые уязвимости

  • CVE-2024-27348: Эксплуатация уязвимости в Apache HugeGraph Server, в частности, гипотетической, которая может позволить удаленное выполнение кода (RCE) через конечную точку сервера Gremlin.
  • CVE-2022-30525: Уязвимость инъекции команд ОС в программе CGI прошивки Zyxel USG FLEX 100(W).
  • CVE-2022-30075: данное CVE затрагивает определенные маршрутизаторы TP-Link, позволяя неаутентифицированным пользователям манипулировать параметрами конфигурации, потенциально внедряя команды.
  • CVE-2018-10562: Эта уязвимость позволяет внедрять команды на маршрутизаторах GPON (Gigabit-capable Passive Optical Networks), использующих веб-сервер Boa, через административный интерфейс веб-сервера Boa. Внедряя команды через определенные параметры, злоумышленники могут выполнить произвольные команды на базовой операционной системе с привилегиями root, что позволит им получить контроль над устройством.
  • CVE-2018-10561: Эта уязвимость позволяет злоумышленникам обойти аутентификацию на маршрутизаторах GPON (Gigabit-capable Passive Optical Networks), использующих веб-сервер Boa, путем добавления определенных параметров к URL-адресу. Это позволяет получить несанкционированный доступ к важным страницам и административным функциям веб-интерфейса маршрутизатора, таким как страницы конфигурации, из-за небезопасных механизмов управления доступом.
  • CVE-2018-9995: нацелен на цифровые видеорегистраторы (DVR) для использования слабых мест в некоторых DVR-устройствах, использующих платформу Hi3520. В коде наблюдаются HTTP-запросы к конечным точкам типа /dvr/cmd без предварительной аутентификации.
  • CVE-2017-18368: Уязвимость инъекции команд в маршрутизаторах ZTE, когда злоумышленники могут эксплуатировать конечные точки, подобные приведенным выше, используя их для инъекции вредоносных команд и получения контроля над устройством.
  • CVE-2017-17215: Уязвимость удаленного выполнения кода, затрагивающая некоторые маршрутизаторы Huawei. Эта уязвимость позволяет злоумышленникам использовать недостаток инъекции команд в функциональности DeviceUpgrade, отправляя специально созданные запросы к конечной точке /ctrlt/DeviceUpgrade_1 на порт 37215.
  • CVE-2017-17106: Учетные данные для веб-камер Zivif PR115-204-P-RS V2.3.4.2103 могут быть получены неаутентифицированным удаленным злоумышленником с помощью стандартного HTTP-запроса web /cgi-bin/hi3510/param.cgi?cmd=getuser. Уязвимость существует из-за отсутствия проверок аутентификации в запросах к CGI-страницам.
  • CVE-2014-8361: затрагивает маршрутизаторы с открытой службой Universal Plug and Play (UPnP), в частности, через действие AddPortMapping службы WANIPConnection.

Indicators of Compromise

IPv4

  • 199.232.46.132
  • 217.18.63.132
  • 5.181.159.78
  • 5.42.78.100
  • 78.138.130.114
  • 85.192.37.173

Domains

  • sponsored-ate.gl.at.ply.gg

MD5

  • 0e3a1683369ab94dc7d9c02adbed9d89
  • 53721f2db3eb5d84ecd0e5755533793a
  • 5a66b6594cb5da4e5fcb703c7ee04083
  • 76975e8eb775332ce6d6ca9ef30de3de
  • 866c52bc44c007685c49f5f7c51e05ca
  • 9c9ea0b83a17a5f87a8fe3c1536aab2f
  • c332b75871551f3983a14be3bfe2fe79
  • c7d7e861826a4fa7db2b92b27c36e5e2
  • d653fa6f1050ac276d8ded0919c25a6f
  • df521f97af1591efff0be31a7fe8b925
Комментарии: 0
Похожие записи
0
5 месяцев
IOC

TeamTNT APT IOCs - Part 2

security
Исследователи из Aqua Nautilus обнаружили новую кампанию известной хакерской группы TeamTNT, направленную на облачные среды с использованием открытых демонов Docker.
0
6 месяцев
IOC

Perfctl Malware IOCs

malware
Исследователи Aqua Nautilus обнаружили вредоносную программу для Linux, известную как «perfctl», которая за последние несколько лет активно использовала более 20 000 неправильных конфигураций в Linux-серверах.