Исследователи LevelBlue Labs предупредили о продолжающейся активности ботнета Ngioweb, который остается одной из наиболее устойчивых угроз для домашних и корпоративных сетей. Несмотря на то что его исходный код почти не изменился с момента появления, злоумышленники активно используют его для сканирования и заражения уязвимых устройств, включая системы контроля доступа Linear eMerge, маршрутизаторы Zyxel и даже бытовые пылесосы Neato. Эти устройства, подключенные к Интернету вещей (IoT), превращаются в прокси-серверы, которые затем продаются на теневом рынке через сервис Nsocks.
Описание
Сервис Nsocks предоставляет доступ к более чем 30 000 IP-адресов по всему миру, предлагая киберпреступникам возможность скрывать свою деятельность за счет чужих зараженных устройств. Большинство жертв ботнета - обычные пользователи домашних интернет-провайдеров, причем наибольшее количество заражений зафиксировано в США, Великобритании, Канаде, Японии и Индии. Ботнет использует сложный алгоритм генерации доменных имен (DGA) для связи с командными серверами (C2), а для аутентификации применяется зашифрованный TXT-ответ. После успешного взлома устройство незаметно для владельца начинает работать как прокси, передавая трафик злоумышленников.
Nsocks, принимающий платежи в криптовалюте (Bitcoin и Litecoin), классифицирует зараженные устройства по типу организации или IP-адресу. Наибольшая доля приходится на домашние сети (ISP), за которыми следуют дата-центры и хостинг-провайдеры (DCH). Развитие вредоносного ПО Ngioweb связано с эксплуатацией множества уязвимостей, включая «нулевые дни». Например, для взлома систем Linear eMerge E3 использовалась уязвимость CVE-2019-7256, позволяющая злоумышленникам получать полный контроль над устройствами.
По данным LevelBlue Labs, масштабы ботнета значительно выросли за последние годы: если в 2020 году ежедневно использовалось около 3 000 IP-адресов, то к 2024 году их количество достигло почти 30 000. Это свидетельствует о высокой эффективности инфраструктуры Ngioweb и ее востребованности среди киберпреступников.
Эксперты по кибербезопасности рекомендуют владельцам IoT-устройств и сетевого оборудования регулярно обновлять прошивки, использовать сложные пароли и мониторить необычную активность в сети. Кроме того, провайдерам и корпоративным пользователям следует внедрять системы обнаружения аномалий, способные выявлять признаки работы ботнетов. В противном случае масштабы заражений могут продолжить расти, создавая новые угрозы для приватности и безопасности данных пользователей по всему миру.
Индикаторы компрометации
IPv4
- 141.98.82.229
- 154.7.253.113
- 216.107.139.52
- 91.227.77.217
Domains
- exagenafy.com
- misukumotist.info
- monobimefist.com
- prenurevaty.info
- Remalexation.name
SHA256
- be285b77211d1a33b7ae1665623a9526f58219e20a685b6548bc2d8e857b6b44